サイバーセキュリティは常に戦場です。2017年、セキュリティ研究者は1日あたり約23,000件（1時間あたり795件）の新しいマルウェアサンプルを発見しました。

衝撃的なタイトルですが、これらのサンプルのほとんどは、同じ種類のマルウェアの亜種であることが判明しています。単にコードが少し違うだけで、それぞれが「新しい」署名を作り出しているのです。

しかし、時折、まったく新しいタイプのマルウェアが出現することがあります。「Mylobot」もその一つで、新しく、高度に洗練されており、勢いを増しています。

ミニチュアロボット（mylobot）は何ですか？

Mylobotは、多数の悪意あるインテントを含むボットネットマルウェアです。新しいマルウェアを最初に発見したのは、Deep Instinct社のセキュリティ研究者であるTom Nipravsky氏で、"これらの技術の組み合わせと洗練さは、これまで野放しでは見られなかったものだ "と述べています。

このマルウェアは、巧妙な感染技術と難読化技術を組み合わせて、1つの強力なパッケージにしています。

• アンチ仮想マシン（VM）技術：マルウェアはローカル環境に仮想マシンの痕跡がないか確認し、発見された場合は実行に失敗します。
• アンチサンドボックス技術：アンチVM技術に非常によく似ている。
• アンチデバッグ技術：特定のデバッガにおける動作を変更することで、セキュリティ研究者がマルウェアサンプルで作業することを効果的に防止します。
• 暗号化されたリソースファイルで内部コンポーネントをラップする：本質的にマルウェアの内部コードを暗号化することでさらに保護します。
• コードインジェクション技術：Mylobotはシステムを攻撃するためにカスタムコードを実行し、そのカスタムコードをシステムプロセスに注入してアクセスし、通常の操作を中断させます。
• プロセスの空洞化：攻撃者はハングアップした状態で新しいプロセスを作成し、隠蔽するはずのプロセスを置き換えます。
• Reflex EXE：EXEファイルをディスクではなく、メモリから実行する。
• 遅延機構：マルウェアはコマンド＆コントロールサーバーに接続する前に14日間スリープします。

マイロボットは、自分を隠すことに力を注いでいます。

アンチサンドボックス、アンチデバッグ、アンチ仮想マシンなどの技術は、マルウェアがアンチマルウェアスキャンに表示されるのを防ぎ、研究者が仮想マシンやサンドボックス環境で解析するためにマルウェアを分離するのを阻止しようとするものです。

反射された実行ファイルは、アンチウイルスやアンチマルウェアのスイートが分析するための直接的なディスク活動を持たないため、Mylobotはさらに検出されにくくなります。

マイロボのダッキングアクション

ネプラフスキーがスレットメールに語ったところによると。

「コードの構造自体が非常に複雑で、マルチスレッド型のマルウェアで、各スレッドがマルウェアの異なる機能を実装しています」。

とします。

"このマルウェアには、互いに入れ子状になった3層のファイルが含まれており、各層は次のファイルの実行を担当します。最後のレイヤーは[Reflective EXE]の技法を使用しています。"

Mylobotは、アンチ解析およびアンチ検出技術により、コマンド＆コントロールサーバーとの通信を確立しようとする前に最大14日間待機することができます。

Mylobotが接続を確立すると、ボットネットはWindows DefenderとWindows Updateをシャットダウンし、多くのWindowsファイアウォールのポートを閉じます。

mylobotは他の種類のマルウェアを発見し、駆除します。

Mylobotマルウェアの最も興味深く珍しい機能の1つは、検索と破壊の機能です。

他のマルウェアとは異なり、Mylobotはターゲットシステム上に既に存在する他の種類のマルウェアを常に除去することができます。mylobotはシステムのアプリケーションデータフォルダをスキャンして一般的なマルウェアファイルとフォルダを見つけ、ファイルまたはプロセスが見つかった場合、Mylobotはそれを終了させることができます。

Neplavsky氏によると、このような稀で非常に攻撃的なマルウェアの活動には、いくつかの理由があるという。ランサムウェア・アズ・ア・サービス（ransomware-as-a-service）などの有料マルウェアの亜種の台頭により、サイバー犯罪者になるための敷居が大幅に低くなりました。一部のフル機能のランサムウェアやエクスプロイトキットは、アフィリエイトプログラムの一部として自由に利用できます（Saturn Ransomwareが有名）。

また、他の広告の日当が数十円であるのに対し、強力なボットネットの採用は、十分な量の注文で極めて低い価格まで下がる可能性があるのです。

アクセスしやすくなったことで、確立されたサイバー犯罪の活動が侵食されつつあるのです。

"攻撃者は、他の攻撃者にサービスを提案する際に自分の価値を高めるために、できるだけ多くの「ゾンビコンピュータ」を持つことを互いに競い合い、特にインフラストラクチャを広めることを目的としています。"

その結果、マルウェアの機能は、より広範囲に拡散し、より長く持続し、より有利な報酬を得るために劇的にアップグレードされています。

mylobotは具体的に何をするのですか？

Mylobotの主な機能は、システムの制御を攻撃者に公開し、そこから攻撃者がオンライン認証情報、システムファイルなどにアクセスできるようにすることです。

実際の被害は、最終的にはシステムを攻撃する人の判断によります。Mylobot機能を持つマルウェアは、特に企業環境で発見された場合、容易に大規模な被害につながる可能性があります。

Mylobotは、DorkBot、Ramdo、悪名高いLockyネットワークなど、他のボットネットにもリンクしています。もし、Mylobotが他のボットネットやマルウェアの種類への導線となるなら、反則した人は非常にひどい目に遭うことになります：。

「ボットネットが追加ペイロードのゲートとして機能することで、キーロガーやバンキングトロイの木馬のインストールに続き、機密データの漏洩のリスクも生じます***」。

mylobotと安全に付き合うには？

さて、ここで悪いニュースがあります。現時点では、Mylobotは2年以上にわたって積極的にシステムに感染しているのです。そのコマンド＆コントロールサーバーは、2015年11月に初めて使用されました。

このように、Mylobotは、Deep Instinctの深層学習ネットワーク研究ツールに入るまで、しばらく他のすべてのセキュリティ研究者や企業の手を逃れていたようです。

残念ながら、通常のアンチウイルスやアンチマルウェアのツールは、Mylobotのようにはならないでしょう - 少なくとも、しばらくの間は。

Mylobotのサンプルが公開されたことで、より多くのセキュリティ企業や研究者がこの署名を利用できるようになりました。その代わり、マイロボットをしっかり見ていてくれる。

とりあえず、最高のコンピュータとセキュリティのアンチウイルスツールのリストをチェックする必要があります!通常のアンチウイルスやアンチマルウェアソフトはMylobotに見つからないかもしれませんが、他のマルウェアはたくさんあるので、確実に停止させることができます。

しかし、手遅れですでに感染が心配な場合は、当社の完全なマルウェア除去ガイドをご確認ください。マルウェアの大部分を克服し、再発防止策を講じることができるようになるのです。