《生化危机》再现 | 详解会对恶意程序下手的MyloBot

Original 你信任的亚信安全 2022-08-17

“

“排除异己”、“无差别攻击”、“迅速扩散”，聊起这几个关键词，可能大家第一反应会是僵尸鼻祖《生化危机》，从游戏到电影再到一系列的衍生品类，这个经典IP自96年游戏诞生以来就在全球掀起了狂潮，深受追崇。尤其是最近E3上宣布的经典作品《生化危机2》即将重制，不知道会勾起多少人的恐怖回忆。然而今天小编要说的不是这个经典系列，而是近期肆意网络的另一个“生化危机”——恶意程序MyloBot。

”

近日，安全研究人员发现了一个新的恶意程序并将它命名为“MyloBot”，该恶意程序有精密的躲避、感染与散播技巧，因此其幕后的不法分子很可能拥有丰富的经验。恶意程序MyloBot是在一家数据与电信设备一线品牌厂商的系统上发现，当它感染某台电脑并将该电脑纳入其僵尸网络旗下时，还会对系统上的其他恶意程序进行攻击直至删除，而且还会对系统造成严重损坏。

虽然研究人员目前尚未查出该恶意程序的感染来源及作者，但发现该恶意程序内采用了一种键盘配置侦测的技巧，当侦测到亚洲的某种键盘配置时就会停止攻击。除此之外，MyloBot还具备以下躲避技巧：

虚拟机器反制能力；
沙盒模拟分析反制能力；
除错器反制能力；
Reflective EXE：这是一种从内存而非从磁盘执行EXE文件的罕见技巧；
执行程序掏空（ProcessHollowing）；
代码注入；
等候14天之后再开始与幕后操纵（C&C）服务器通信以躲避威胁追踪、沙盒模拟分析以及端点防护的侦测。

此恶意程序可让黑客完全掌控被感染的电脑，并下载新的恶意程序或从事其他不法活动，如：银行木马程序、键盘侧录程序、发动分布式阻断服务攻击（DDoS）攻击。

MyloBot在安装时会停用WindowsDefender和Windows Update，并封锁防火墙以方便其部署和进行C&C通信。此外，研究人员也发现，该程序撰写风格类似Dorkbot和Locky，或许此恶意程序的作者与之前这些恶意程序的作者（或地下市场卖家）有所交流。此外，研究人员追溯到其黑暗网络上的C&C服务器也曾用于之前的恶意程序攻击，因此更提高了这项推测的可能性。

MyloBot还有一项行为就是会终止并删除系统上已感染的恶意程序，它会扫描%APPDATA%文件夹底下的特定文件夹和执行文件。研究人员认为，这样的独特行为应该是为了排除其他黑客的恶意程序，以尽可能独占被感染的设备以提高获利。

亚信安全教你如何防范此类威胁？

今日网络犯罪集团不但要对抗安全厂商，还要和同业竞争，因此要应付像这样的威胁，我们需要更进阶、更主动的响应技术来防范攻击。以下是企业该如何保护系统和资产的一些建议：