Mylobot : το malware που δεν θα θέλατε να περάσει στον υπολογιστή σας


Mylobot: Το 2017, οι ερευνητές ασφαλείας ανακάλυπταν περίπου 23.000 νέα δείγματα κακόβουλου λογισμικού κάθε μέρα, δηλαδή 795 την ώρα.

Αν ο αριθμός σας φαίνεται μεγάλος, να αναφέρουμε ότι η πλειοψηφία αυτών των δειγμάτων ήταν παραλλαγές λίγων διαφορετικών malware. Είχαν ελαφρώς διαφορετικό κώδικα, έτσι για να δημιουργηθεί μια “νέα” υπογραφή.malware - Mylobot : το malware που δεν θα θέλατε να περάσει στον υπολογιστή σας

Από καιρό σε καιρό, όμως εμφανίζονται και εντελώς νέα malware στη σκηνή. Το Mylobot είναι ένα τέτοιο παράδειγμα: είναι νέο, εξαιρετικά εξελιγμένο και πολύ δυναμικό.

Τι είναι το Mylobot;

Το Mylobot είναι ένα κακόβουλο λογισμικό τύπου botnet. Το νέο malware εντοπίστηκε για πρώτη φορά από τον Tom Nipravsky, ερευνητή ασφάλειας της Deep Instinct. Ο ερευνητής ανέφερε ότι “ο συνδυασμός και η πολυπλοκότητα των τεχνικών που περιέχει δεν ήταν γνωστά ποτέ πριν”.

Πραγματικά το νέο κακόβουλο πρόγραμμα διαθέτει πολύ εξελιγμένες τεχνικές μόλυνσης και εμπλοκής σε ένα πακέτο. Ρίξε μια ματιά:

Τεχνικές Anti-virtual machine (VM): Το κακόβουλο λογισμικό ελέγχει το τοπικό του περιβάλλον για να ανακαλύψει virtual machines αν αποτύχει να τρέξει.
Τεχνικές κατά του sandbox: Πολύ παρόμοιες με τις τεχνικές anti-VM.
Τεχνικές κατά της αποσφαλμάτωσης (Anti-debugging): Για τους ερευνητές ασφάλειας που προσπαθούν να δουν τι περιέχει ο κώδικας του νέου malware.
Χρήση κρυπτογράφησης στα σημαντικά κομμάτια του κώδικα: για περαιτέρω προστασία του κώδικα του κακόβουλου λογισμικού.
Τεχνικές έγχυσης κώδικα (Code injection): Το Mylobot τρέχει προσαρμοσμένο κώδικα που επιτίθεται σε συστήματα, προσθέτοντας τον κώδικά του σε διεργασίες του συστήματος.
Τεχνικές απόκρυψης: Ο εισβολέας δημιουργεί μια νέα διεργασία σε κατάσταση αναστολής, και στη συνέχεια την αντικαθιστά με εκείνη που θέλει να κρύψει.
Ανακλαστικό EXE: Τα αρχεία EXE τρέχουν από τη μνήμη και όχι από το δίσκο.
Μηχανισμός καθυστέρησης: Το κακόβουλο λογισμικό παραμένει αδρανές για 14 ημέρες πριν αρχίσει να συνδέεται με τους διακομιστές εντολών και ελέγχου.

Οι τεχνικές sandboxing, anti-debugging και anti-VM που επιχειρούν να σταματήσουν κάθε κακόβουλο λογισμικό δεν φαίνεται να μπορούν να σταματήσουν το Mylobot. Τα ανακλαστικά exe που τρέχουν από την μνήμη του λειτουργικού κάνουν το Mylobot σχεδόν αόρατο, καθώς δεν υπάρχει άμεση δραστηριότητα στο δίσκο, που να μπορεί να ανιχνεύσει το όποιο antivirus ή antimalware.

Σύμφωνα με τον Nipravsky από την Threatpost:

Η δομή του ίδιου του κώδικα είναι πολύ πολύπλοκη (πρόκειται για ένα κακόβουλο λογισμικό πολλαπλών νημάτων όπου κάθε νήμα είναι υπεύθυνο για την εφαρμογή διαφορετικών δυνατοτήτων).

Και:

Το κακόβουλο λογισμικό περιέχει τρία επίπεδα αρχείων, ένθετα μεταξύ τους, όπου κάθε στρώμα είναι υπεύθυνο για την εκτέλεση του επόμενου. Το τελευταίο επίπεδο χρησιμοποιεί την τεχνική ανακλαστικών exe (Reflective EXE).

Μένοντας μακριά από τεχνικές ανάλυσης και ανίχνευσης, το Mylobot μπορεί να περιμένει μέχρι και 14 ημέρες πριν προσπαθήσει να επικοινωνήσει με τους διακομιστές εντολών και ελέγχου. Όταν συνδεθεί το Mylobot, το botnet απενεργοποιεί τα Windows Defender, Windows Update, και αρκέτες θύρες του τείχους προστασίας των Windows.

Μια από τις πιο ενδιαφέρουσες και σπάνιες λειτουργίες του κακόβουλου λογισμικού Mylobot είναι η λειτουργία αναζήτησης και καταστροφής.

Σε αντίθεση με άλλα κακόβουλα προγράμματα, όταν εγκατασταθεί το Mylobot εξαλείφει κάθε άλλο κακόβουλο λογισμικό (αν υπάρχει και άλλο στο σύστημα-στόχο). Το Mylobot σαρώνει το σύστημα για κακόβουλο λογισμικό και όταν εντοπίσει κάποια διεργασία την τερματίζει.

Ο Nipravsky πιστεύει ότι η συγκεκριμένη λειτουργία προστέθηκε για να σταματήσει λειτουργίες ransomware-as-a-service και άλλων παραλλαγών κακόβουλων προγραμμάτων pay-to-play που μπορεί να νοικιάσει ο καθένας στο διαδίκτυο.

Οι επιτιθέμενοι ανταγωνίζονται μεταξύ τους για να έχουν όσο το δυνατόν περισσότερους υπολογιστές ζόμπι για να αυξήσουν την αξία του bot που διαθέτουν προς ενοικίαση σε άλλους επιτιθέμενους.

Τι κάνει το Mylobot, ακριβώς;

Η κύρια λειτουργία του Mylobot είναι να παραδώσει τον έλεγχο του συστήματος στον εισβολέα. Από εκεί, ο επιτιθέμενος μπορεί να έχει πρόσβαση σε διαπιστευτήρια στο διαδίκτυο, αρχεία συστήματος και πολλά άλλα.

Το Mylobot διαθέτει πάρα πολλές διασυνδέσεις με άλλα botnets, όπως το DorkBot, το Ramdo και το περίφημο δίκτυο Locky. Αν το Mylobot ενεργεί ως αγωγός για όλα τα άλλα είδη botnet το θύμα του συγκεκριμένου malware δεν θα περάσει καλά.

Πώς μπορείτε να μείνετε ασφαλείς από το Mylobot;

Κακά τα νέα προς το παρόν: Το Μylobot πιστεύεται ότι μολύνει συστήματα για πάνω από δύο χρόνια. Οι διακομιστές εντολών-ελέγχου που χρησιμοποιεί, λειτούργησαν για πρώτη φορά τον Νοέμβριο του 2015.

Έτσι, το Μylobot φαίνεται να απέφυγε πάρα πολλούς ερευνητές και επιχειρήσεις ασφαλείας για αρκετό καιρό, πριν ανακαλυφθεί από την Deep Instinct.

Δυστυχώς, τα σημερινά εργαλεία αντιμετώπισης ιών δεν μπορούν να ανιχνεύσουν το Μylobot – τουλάχιστον προς το παρόν.

Τώρα όμως που υπάρχει ένα δείγμα από Μylobot, οι επιχειρήσεις ασφάλειας θα μπορούν να έχουν την ψηφιακή του υπογραφή για να την χρησιμοποιήσουν μελλοντικά στην ανίχνευση.

_____________________________


Λήψη νέων αναρτήσεων μέσω email:

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

1 Comment

  1. Δεν έχουμε παρά να μείνουμε με ανοιχτό το στόμα μας από τις δυνατότητές του και ταυτόχρονα από την ανησυχία μας μήπως μας έχει επισκεφτεί και εμάς…

Αφήστε μια απάντηση

Your email address will not be published.