什麼是 Mylobot？該惡意軟體如何運作？

2017年，安全研究人員每天偵測到約23,000個惡意軟體樣本，相當於每小時產生約795個惡意軟體。聽起來很糟糕，但實際上這些樣本中的大多數都是現有惡意軟體的變體，它只是使用不同的程式碼來創建「新」簽名。然而，最近出現了一種新的、非常複雜的惡意軟體，稱為 Mylobot。

什麼是Mylobot？

Mylobot 是一種殭屍網路惡意軟體，包含大量惡意意圖。 Deep Instinct 的安全研究員 Tom Nipravsky 是第一個發現該惡意軟體的人。

該惡意軟體將一系列複雜的感染和混淆技術結合在一個強大的軟體包中。以下是 Mylobot 中使用的技術：

• 反虛擬機器 (VM) 技術：此惡意軟體檢查電腦環境中是否有虛擬機器使用跡象。如果發現任何跡象表明使用者正在使用虛擬機，則該虛擬機將不會運作。
• 反沙箱技術：與反虛擬機器技術非常相似。

查看更多：適用於 Windows 10 的 7 個最佳沙盒應用程式

• 反調試技術：透過改變特定調試程式的行為，阻止安全研究人員有效地處理惡意軟體樣本。
• 用加密的資源檔案包裹內部：透過加密保護惡意軟體的內部程式碼。
• 程式碼注入攻擊技術：Mylobot 運行自訂程式碼來攻擊系統，用此程式碼感染進程來存取和破壞常規操作。
• 空句柄：攻擊者建立一個處於掛起狀態的新進程，然後用隱藏進程取代它。
• 反射 EXE 技術：從記憶體而不是驅動器上運行 EXE 檔案。
• 延遲機制：惡意軟體延遲 14 天才連接到命令和控制伺服器。

Mylobot 執行多種技術來保持隱藏。

反沙箱、反調試和反虛擬機技術試圖防止在使用反惡意軟體軟體進行掃描時檢測到惡意軟體，並防止安全研究人員在機器上隔離惡意軟體。在虛擬或沙箱環境中進行分析和研究。

Mylobot 使用反射 EXE 使其更難檢測，因為它不會直接在驅動器上工作，因此無法透過防毒或反惡意軟體軟體進行分析。

「它的程式碼結構非常複雜，這是一個多線程惡意軟體，每個線程負責實現惡意軟體的不同功能，」尼普拉夫斯基在貼文中寫道。也提到：「該惡意軟體包含三層文件，相互嵌套，每一層負責執行下一層。最後一層使用反射 EXE 技術」。

加上反分析和反檢測技術，Mylobot 可以延遲 14 天，然後與其命令和控制伺服器取得聯繫。當 Mylobot 建立連線時，殭屍網路會關閉 Windows Defender和Windows Update，並關閉一些 Windows 防火牆連接埠。

Mylobot 搜尋並殺死其他類型的惡意軟體

Mylobot 惡意軟體的有趣且罕見的功能之一是它能夠搜尋並銷毀其他惡意軟體。與其他惡意軟體不同，Mylobot 已準備好銷毀系統上存在的此類惡意軟體。它掃描系統的應用程式資料資料夾中的常見惡意軟體檔案和資料夾。如果發現任何特定檔案或進程，Mylobot 就會「殺死」它。

那麼Mylobot到底是做什麼的呢？

Mylobot的主要功能是控制系統，攻擊者可以從中取得線上登入資訊、系統檔案等，破壞程度取決於系統攻擊者。它可能會造成巨大的損害，尤其是在滲透到企業環境時。

Mylobot 也與其他殭屍網路相關聯，例如 DorkBot、Ramdo 和臭名昭著的 Locky 網路。如果 Mylobot 充當殭屍網路和其他類型惡意軟體的“管道”，那麼這就是一場真正的災難。

如何對抗Mylobot

壞消息是 Mylobot 已經感染系統兩年多了。其命令和控制伺服器於 2015 年 11 月首次被發現。 Mylobot 在被 Deep Instinct 的「深度學習」網路研究工具發現之前很長一段時間都躲過了所有其他研究人員和安全公司的追捕。

傳統的防毒和反惡意軟體工具至少暫時無法防禦 Mylobot。現在 Mylobot 樣本已經可用，許多研究人員和安全公司可以使用它來尋找針對該惡意軟體的措施。

同時，您應該查看我們的防毒和電腦安全工具清單。雖然這些工具無法摧毀 Mylobot，但它們可以阻止其他惡意軟體。另外，您可以參考文章徹底刪除Windows 10電腦上的惡意軟體（malware）。

看更多：

• 當您發現電腦感染惡意軟體時應採取的 9 件事
• 您知道多少種惡意軟體？您知道如何預防它們嗎？
• 10種典型的惡意軟體類型