Apakah Mylobot dan bagaimana perisian hasad ini berfungsi?

Pada 2017, penyelidik keselamatan mengesan kira-kira 23,000 sampel perisian hasad setiap hari, iaitu kira-kira 795 keping perisian hasad dihasilkan setiap jam. Bunyinya mengerikan, tetapi sebenarnya kebanyakan sampel ini adalah variasi perisian hasad sedia ada, ia hanya menggunakan kod yang berbeza untuk mencipta tandatangan "baharu". Walau bagaimanapun, baru-baru ini, perisian hasad baharu yang sangat canggih telah muncul yang dipanggil Mylobot.

Apa itu Mylobot?

Mylobot ialah perisian hasad botnet yang mengandungi sejumlah besar niat jahat. Tom Nipravsky, seorang penyelidik keselamatan untuk Deep Instinct, adalah orang pertama yang menemui perisian hasad ini.

Apakah Mylobot dan bagaimana perisian hasad ini berfungsi?

Perisian hasad ini menggabungkan satu siri jangkitan kompleks dan teknik pengeliruan dalam satu pakej yang berkuasa. Berikut adalah teknik yang digunakan dalam Mylobot:

Teknik mesin anti-maya (VM) : Perisian hasad ini memeriksa persekitaran komputer untuk tanda-tanda penggunaan mesin maya . Jika sebarang petunjuk didapati bahawa pengguna menggunakan mesin maya, ia tidak akan berjalan.
Teknik anti-kotak pasir : Sangat serupa dengan teknik mesin anti-maya.

Lihat lagi: 7 aplikasi Sandbox terbaik untuk Windows 10

Teknik anti-nyahpepijat : Halang penyelidik keselamatan daripada mengusahakan sampel perisian hasad secara berkesan dengan mengubah tingkah laku program penyahpepijatan tertentu.
Balut bahagian dalam dengan fail sumber yang disulitkan : Lindungi kod dalaman perisian hasad dengan penyulitan.
Teknik serangan suntikan kod : Mylobot menjalankan kod tersuai untuk menyerang sistem, menjangkiti proses dengan kod ini untuk mengakses dan mengganggu operasi biasa.
Pemegang kosong : Penyerang mencipta proses baharu dalam keadaan digantung, kemudian menggantikannya dengan proses tersembunyi.
Teknik EXE reflektif : Jalankan fail EXE daripada memori dan bukannya pada pemacu.
Mekanisme kelewatan : Perisian berniat jahat melambatkan 14 hari sebelum menyambung ke pelayan arahan dan kawalan.

Mylobot melakukan pelbagai teknik untuk kekal tersembunyi.

Teknik mesin anti-kotak pasir, anti-debug dan anti-maya cuba menghalang perisian hasad daripada dikesan semasa mengimbas dengan perisian anti-perisian hasad , serta menghalang penyelidik keselamatan daripada mengasingkan perisian hasad pada mesin. persekitaran maya atau kotak pasir untuk analisis dan penyelidikan .

Mylobot menggunakan Reflektif EXE untuk menjadikannya lebih sukar untuk dikesan kerana ia tidak berfungsi secara langsung pada pemacu, jadi ia tidak boleh dianalisis oleh perisian anti-virus atau anti-malware.

"Struktur kodnya sangat kompleks, ini adalah perisian hasad berbilang benang, setiap rangkaian bertanggungjawab untuk melaksanakan keupayaan perisian hasad yang berbeza," tulis Nipravsky dalam satu catatan. Dan juga menyebut: "Malware ini mengandungi tiga lapisan fail, bersarang antara satu sama lain, di mana setiap lapisan bertanggungjawab untuk melaksanakan yang seterusnya. Lapisan akhir menggunakan teknik EXE Reflektif".

Bersama-sama dengan teknik anti-analisis dan anti-pengesanan, Mylobot boleh menangguhkan selama 14 hari kemudian membuat hubungan dengan pelayan arahan dan kawalannya. Apabila Mylobot membuat sambungan, botnet mematikan Windows Defender dan Windows Update , serta menutup beberapa port Windows Firewall.

Mylobot mencari dan membunuh jenis perisian hasad lain

Salah satu ciri yang menarik dan jarang berlaku bagi perisian hasad Mylobot ini ialah ia mempunyai keupayaan untuk mencari dan memusnahkan perisian hasad lain. Tidak seperti perisian hasad lain, Mylobot bersedia untuk memusnahkan jenis perisian hasad ini jika terdapat pada sistem. Ia mengimbas folder Data Aplikasi sistem untuk fail dan folder perisian hasad biasa. Jika ia menemui sebarang fail atau proses tertentu, Mylobot akan "membunuh"nya.

Jadi apa sebenarnya yang Mylobot lakukan?

Fungsi utama Mylobot adalah untuk mengawal sistem, dari mana penyerang mempunyai akses kepada maklumat log masuk dalam talian, fail sistem, dll. Tahap kerosakan bergantung kepada penyerang sistem. Ia boleh menyebabkan kerosakan yang besar terutamanya apabila menembusi persekitaran korporat.

Mylobot juga dikaitkan dengan botnet lain seperti DorkBot, Ramdo dan rangkaian Locky yang terkenal. Jika Mylobot bertindak sebagai "saluran" untuk botnet dan jenis perisian hasad lain, maka ini adalah bencana sebenar.

Bagaimana untuk melawan Mylobot

Berita buruknya ialah Mylobot telah menjangkiti sistem selama lebih daripada dua tahun. Pelayan arahan dan kawalannya pertama kali ditemui pada November 2015. Mylobot mengelak daripada semua penyelidik dan syarikat keselamatan lain untuk masa yang lama sebelum ditemui oleh alat penyelidikan rangkaian "pembelajaran mendalam" Deep Instinct.

Alat anti-virus dan anti-malware konvensional tidak dapat melindungi daripada Mylobot sekurang-kurangnya buat masa ini. Kini setelah sampel Mylobot tersedia, ramai penyelidik dan syarikat keselamatan boleh menggunakannya untuk mencari langkah terhadap perisian hasad ini.

Sementara itu, anda harus menyemak senarai alat antivirus dan keselamatan komputer kami . Walaupun alat ini tidak boleh memusnahkan Mylobot, mereka boleh menghentikan perisian hasad lain. Selain itu, anda boleh merujuk artikel Alih keluar sepenuhnya perisian hasad (perisian hasad) pada komputer Windows 10 .

Lihat lagi:

Tinggalkan Komen

Apakah One UI untuk Android?

One UI menggantikan Samsung Experience sebagai antara muka tersuai Samsung untuk Android. Ia dipermudahkan, rapi dan direka bentuk untuk memaparkan maklumat penting sahaja, mengurangkan gangguan.

Ketahui tentang Desibel (dB) dalam rangkaian komputer

Decibel (dB) ialah unit ukuran standard, digunakan untuk mengukur kekuatan isyarat rangkaian berwayar dan wayarles.

13 sebab anda harus menggunakan VPN

Rangkaian persendirian maya adalah berpatutan, mudah digunakan dan merupakan komponen penting dalam persediaan komputer dan telefon pintar. Bersama-sama dengan tembok api dan penyelesaian anti-virus/anti-perisian hasad anda, anda harus memasang VPN supaya setiap masa yang anda belanjakan dalam talian adalah tertutup sepenuhnya.

Ketahui tentang protokol Telnet

Telnet ialah protokol baris arahan yang digunakan untuk mengurus pelbagai peranti seperti pelayan, PC, penghala, suis, kamera, tembok api dari jauh.

Apakah Rasuah Data?

Apabila seseorang membincangkan tentang memelihara data sensitif, anda mungkin akan mendengar istilah "rasuah data". Jadi apakah itu "rasuah data" dan bagaimana anda boleh membetulkan fail anda jika berlaku masalah?

Apakah itu Pusat Kawalan Catalyst (CCC.exe)?

Pusat Kawalan Catalyst ialah utiliti yang disertakan dengan pemandu, membantu kad video AMD beroperasi. Ia muncul sebagai CCC.exe dalam Pengurus Tugas pengguna dan dalam kebanyakan kes, anda tidak perlu risau tentang perkara ini.

Apakah perisian hasad yang Ditandatangani Kod dan bagaimana untuk mengelakkannya?

Penandatanganan kod ialah kaedah menggunakan tandatangan digital berasaskan sijil untuk sekeping perisian supaya sistem pengendalian dan pengguna boleh menentukan keselamatannya. Apakah perisian hasad yang ditandatangani kod dan bagaimana ia berfungsi?

Ketahui tentang Cloud Firewall

Apabila teknologi di sekeliling kita berkembang, tembok api juga perlu dibawa ke awan untuk mengikuti arah aliran. Itulah sebabnya istilah cloud firewall dilahirkan.

Apakah Mylobot dan bagaimana perisian hasad ini berfungsi?

Pada 2017, penyelidik keselamatan mengesan kira-kira 23,000 sampel perisian hasad setiap hari, iaitu kira-kira 795 keping perisian hasad dihasilkan setiap jam. Baru-baru ini, perisian hasad baharu yang sangat canggih dipanggil Mylobot telah muncul.

Apakah format FAT32, NTFS, exFAT?

NTFS, FAT32, exFAT adalah sistem fail pada Windows, tetapi khususnya apa itu NTFS, apakah itu FAT32, apakah itu exFAT, apakah persamaan dan perbezaannya? Kami menjemput pembaca untuk merujuk artikel ini.