Что такое вредоносная программа Mylobot? Как она работает и что с ней делать
Безопасность

Что такое вредоносная программа Mylobot? Как она работает и что с ней делать

Время от времени появляется действительно новый штамм вредоносного ПО.Mylobot – идеальный пример. Узнайте больше о том, что это такое, почему он опасен и что с ним делать

Кибербезопасность – это постоянное поле битвы. В 2017 году исследователи безопасности обнаруживали около 23 000 новых образцов вредоносного ПО в день (это 795 в час)

Хотя этот заголовок шокирует, оказывается, что большинство этих образцов являются вариантами одного и того же типа вредоносного ПО. Они просто имеют немного отличающийся код, который создает ‘новую’ сигнатуру

Однако время от времени на сцену выходит действительно новый штамм вредоносного ПО.Mylobot – один из таких примеров: он новый, очень сложный и набирает обороты

Что такое Mylobot?

Mylobot – это вредоносная программа-ботнет, которая содержит серьезный набор вредоносных намерений. Новая вредоносная программа была впервые замечена Томом Ниправски, исследователем безопасности из Deep Instinct, который говорит, что ‘сочетание и сложность этих методов никогда ранее не встречались в природе’

Эта вредоносная программа действительно сочетает в себе широкий спектр сложных методов заражения и обфускации в мощный пакет. Взгляните:

  • Методы борьбы с виртуальными машинами (VM): Вредоносная программа проверяет локальное окружение на наличие признаков виртуальной машины и, если таковая обнаружена, не запускается.
  • Anti-sandbox techniques: Очень похоже на анти-VM техники.
  • Anti-debugging techniques: Препятствует эффективной и результативной работе исследователя безопасности над образцом вредоносного ПО, изменяя его поведение в присутствии определенных отладочных программ.
  • Обертывание внутренних частей зашифрованным файлом ресурсов: По сути, дополнительная защита внутреннего кода вредоносной программы с помощью шифрования.
  • Техника внедрения кода: Mylobot использует пользовательский код для атаки на систему, внедряя свой пользовательский код в системные процессы для получения доступа и нарушения обычной работы.
  • Process hollowing: Атакующий создает новый процесс в приостановленном состоянии, а затем заменяет им тот, который должен быть скрыт.
  • Reflective EXE: EXE-файл выполняется из памяти, а не с диска.
  • Механизм задержки: Вредоносная программа находится в спящем состоянии в течение 14 дней, прежде чем подключиться к командно-контрольным серверам.

.

Mylobot прилагает много усилий, чтобы оставаться скрытым

Методы анти-песочницы, анти-отладки и анти-VM пытаются предотвратить появление вредоносной программы при сканировании антивирусными программами, а также помешать исследователям изолировать вредоносную программу на виртуальной машине или в изолированной среде для анализа

Отражающий исполняемый файл делает Mylobot еще более необнаруживаемым, так как отсутствует прямая активность на диске для анализа антивирусом или антивирусным пакетом

Уклоняющиеся маневры Mylobot

Согласно тому, что Ниправский рассказал Threatpost:

‘Структура самого кода очень сложна – это многопоточная вредоносная программа, где каждый поток отвечает за реализацию различных возможностей вредоносной программы’

И:

‘Вредоносная программа содержит три слоя файлов, вложенных друг в друга, где каждый слой отвечает за выполнение следующего. Последний слой использует технику Reflective EXE

Наряду с техниками анти-анализа и анти-обнаружения, Mylobot может ждать до 14 дней, прежде чем попытаться установить связь со своими командными и управляющими серверами

Когда Mylobot устанавливает соединение, ботнет отключает Windows Defender и Windows Update, а также закрывает ряд портов брандмауэра Windows

Mylobot ищет и уничтожает другие типы вредоносных программ

Одной из самых интересных – и редких – функций вредоносной программы Mylobot является функция поиска и уничтожения

В отличие от других вредоносных программ, Mylobot поставляется готовым к уничтожению других типов вредоносных программ, уже находящихся на целевой системе.Mylobot сканирует системные папки Application Data на наличие распространенных файлов и папок с вредоносным ПО, и если находит определенный файл или процесс, Mylobot завершает его

Ниправски считает, что есть несколько причин такой редкой и гипер-агрессивной активности вредоносного ПО. Появление программ с выкупом как услуги и других вариантов вредоносного ПО с оплатой по факту значительно снизило барьер для того, чтобы стать киберпреступником. Некоторые полнофункциональные программы-вымогатели и наборы эксплойтов доступны бесплатно в рамках партнерских программ (в частности, программа Saturn ransomware)

Более того, при достаточно большом заказе цена на аренду мощного ботнета может быть чрезвычайно низкой, в то время как другие компании рекламируют дневные тарифы всего за десятки долларов

Легкость доступа вторгается в устоявшуюся деятельность киберпреступников

‘Злоумышленники соревнуются друг с другом, чтобы иметь как можно больше ‘зомби-компьютеров’, чтобы повысить свою ценность при предложении услуг другим злоумышленникам, особенно когда речь идет о распространении инфраструктур’

В результате происходит своего рода резкая эскалация функциональности вредоносных программ, чтобы они распространялись дальше, существовали дольше и приносили больше прибыли

Что именно делает Mylobot?

Основная функциональность Mylobot заключается в передаче контроля над системой злоумышленнику. Отсюда злоумышленник получает доступ к учетным данным в Интернете, системным файлам и многому другому

Реальный ущерб в конечном итоге зависит от решения того, кто атакует систему. Вредоносное ПО с возможностями Mylobot может легко привести к масштабному ущербу, особенно при обнаружении в корпоративной среде

Mylobot также имеет связи с другими ботнетами, включая DorkBot, Ramdo и печально известную сеть Locky. Если Mylobot действует как проводник для других ботнетов и типов вредоносного ПО, всем, кто попадет под действие этой вредоносной программы, придется очень несладко:

‘Тот факт, что ботнет действует как ворота для дополнительной полезной нагрузки, подвергает предприятие риску утечки конфиденциальных данных, а также риску установки кейлоггеров/банковских троянов’

Как защититься от Mylobot?

А вот и плохие новости: Считается, что Mylobot активно заражает системы уже более двух лет. Его командно-контрольные серверы впервые были использованы в ноябре 2015 года

Таким образом, Mylobot, похоже, довольно долго уклонялся от всех других исследователей и фирм, занимающихся безопасностью, прежде чем наткнулся на инструменты глубокого обучения Deep Instinct для кибер-исследований

К сожалению, ваши обычные антивирусы и антивирусные программы не смогут обнаружить что-то вроде Mylobot – по крайней мере, на данный момент

Теперь, когда есть образец Mylobot, больше фирм и исследователей безопасности могут использовать сигнатуру. В свою очередь, они будут гораздо внимательнее следить за Mylobot

А пока вам необходимо ознакомиться с нашим списком лучших антивирусных инструментов для компьютера и безопасности! Хотя ваш обычный антивирус или антивирусная программа может не обнаружить Mylobot, существует огромное количество других вредоносных программ которые он точно остановит

Однако если для вас уже слишком поздно, и вы уже обеспокоены заражением, ознакомьтесь с нашим полным руководством по удалению вредоносных программ. Оно поможет вам и вашей системе справиться с подавляющим большинством вредоносных программ, а также начать предпринимать шаги по предотвращению их повторного появления

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий