網絡安全是一個永恆的戰場。2017年,安全研究人員每天發現約23000個新的惡意軟件樣本(即每小時795個)。
雖然這個標題令人震驚,但事實證明,這些樣本中的大多數都是同一類型惡意軟件的變種。它們只是有稍微不同的代碼,每個代碼創建一個“新”簽名。
不過,時不時會有一種全新的惡意軟件出現。Mylobot就是這樣一個例子:它是新的、高度複雜的,而且勢頭強勁。
Mylobot是一個殭屍網絡惡意軟件,它包含大量的惡意意圖。最早發現這種新惡意軟件的是Tom Nipravsky,他是Deep Instinct的一名安全研究員,他說“這些技術的組合和複雜性以前從未在野外見過。”
這種惡意軟件確實將各種複雜的感染和混淆技術結合到一個強大的軟件包中。看一看:
Mylobot花了很多精力來隱藏自己。
反沙盒、反調試和反虛擬機技術試圖阻止惡意軟件出現在反惡意軟件掃描中,並防止研究人員在虛擬機或沙盒環境中隔離惡意軟件進行分析。
反射的可執行文件使Mylobot更不可檢測,因為您的防病毒或反惡意軟件套件沒有直接的磁盤活動可供分析。
根據尼普拉夫斯基告訴《威脅郵報》的話:
"The structure of the code itself is very complex---it's a multi-threaded malware where each thread is in charge on implementing different capability of the malware."
以及:
"The malware contains three layers of files, nested on each other, where each layer is in charge of executing the next one. The last layer is using [the Reflective EXE] technique."
隨著反分析和反檢測技術,Mylobot可以等待長達14天,然後試圖建立與它的指揮和控制服務器的通信。
當Mylobot建立連接時,殭屍網絡會關閉Windows Defender和Windows Update,並關閉許多Windows防火牆端口。
Mylobot惡意軟件最有趣也是最罕見的功能之一是它的搜索和銷燬功能。
與其他惡意軟件不同,Mylobot可以隨時清除目標系統中已有的其他類型的惡意軟件。Mylobot會掃描系統應用程序數據文件夾中的常見惡意軟件文件和文件夾,如果發現某個文件或進程,Mylobot會將其終止。
尼普拉夫斯基認為,這種罕見且極具攻擊性的惡意軟件活動有幾個原因。勒索軟件即服務(ransomware-as-a-service)和其他付費遊戲(pay-to-play)惡意軟件變種的興起,大大降低了成為網絡罪犯的門檻。一些全功能的勒索軟件和利用工具包是免費提供的一部分,聯屬計劃(特別是土星勒索軟件)。
此外,僱用一個強大的殭屍網絡的價格可以下降到極低的一個足夠大的訂單,而其他廣告日費率只有幾十美元。
接入的便捷性正在侵蝕已確立的網絡犯罪活動。
"Attackers compete against each other to have as many 'zombie computers' as possible in order to increase their value when proposing services to other attackers, especially when it comes to spreading infrastructures."
因此,惡意軟件的功能會急劇升級,以進一步傳播,持續時間更長,並獲得更有利可圖的回報。
Mylobot的主要功能是向攻擊者公開對系統的控制。從那裡,攻擊者可以訪問聯機憑據、系統文件等。
真正的損害最終取決於攻擊系統的人的決定。具有Mylobot功能的惡意軟件很容易導致大規模破壞,尤其是在企業環境中發現時。
Mylobot還與其他殭屍網絡有鏈接,包括DorkBot、Ramdo和臭名昭著的Locky網絡。如果Mylobot是其他殭屍網絡和惡意軟件類型的管道,任何人如果犯規,都會有一個非常糟糕的時間:
"The fact that the botnet behaves as a gate for additional payloads, puts the enterprise in risk for leak of sensitive data as well, following the risk of keyloggers / banking trojans installati***."
好吧,壞消息是:在這個時候,Mylobot已經積極感染系統兩年多了。其命令和控制服務器在2015年11月首次使用。
因此,Mylobot似乎在進入Deep Instinct的深度學習網絡研究工具之前,已經躲過了所有其他安全研究人員和公司一段時間。
不幸的是,你的常規防病毒和反惡意軟件工具不會像Mylobot那樣——至少暫時不會。
現在有了Mylobot樣本,更多的安全公司和研究人員可以使用這個簽名。反過來,他們會密切關注Mylobot。
同時,您需要查看我們的最佳計算機和安全防病毒工具列表!雖然你的常規防病毒或反惡意軟件可能不會在Mylobot上發現,但有很多其他惡意軟件,它肯定會停止。
但是,如果對你來說太晚了,而且你已經擔心感染,請查看我們的完整的惡意軟件刪除指南。它將幫助您和您的系統克服絕大多數惡意軟件,以及開始採取措施,以防止它再次發生。
... 事實上,我們有一個大名單,你應該做什麼,如果你想讓你的帳戶洩露。嚴格遵循這個建議,你也可以體驗到被駭客入侵社交媒體賬戶的樂趣,甚至可能是身份盜竊。 ...
...但對於Windows技術支援和Windows退款騙局,我們到底能做些什麼呢?你應該結束通話電話,還是帶著打電話的人走?你能向誰舉報他們嗎?如果是的話,你還要麻煩嗎?讓我們看看。 ...
... 但是什麼是DNS伺服器,它是如何讓你從a(域名)到B(匹配的web伺服器)的呢?您如何知道您的DNS伺服器是否正確響應?這個系統設計成在你不注意的情況下工作,但它不是萬...
... 但是什麼是clipper惡意軟體,它是如何工作的,以及如何避免攻擊? ...