查看原文
其他

《生化危机》再现 | 详解会对恶意程序下手的MyloBot

你信任的 亚信安全 2022-08-17

“排除异己”、“无差别攻击”、“迅速扩散”,聊起这几个关键词,可能大家第一反应会是僵尸鼻祖《生化危机》,从游戏到电影再到一系列的衍生品类,这个经典IP自96年游戏诞生以来就在全球掀起了狂潮,深受追崇。尤其是最近E3上宣布的经典作品《生化危机2》即将重制,不知道会勾起多少人的恐怖回忆。然而今天小编要说的不是这个经典系列,而是近期肆意网络的另一个“生化危机”——恶意程序MyloBot。

 

近日,安全研究人员发现了一个新的恶意程序并将它命名为“MyloBot”,该恶意程序有精密的躲避、感染与散播技巧,因此其幕后的不法分子很可能拥有丰富的经验。恶意程序MyloBot是在一家数据与电信设备一线品牌厂商的系统上发现,当它感染某台电脑并将该电脑纳入其僵尸网络旗下时,还会对系统上的其他恶意程序进行攻击直至删除,而且还会对系统造成严重损坏。


虽然研究人员目前尚未查出该恶意程序的感染来源及作者,但发现该恶意程序内采用了一种键盘配置侦测的技巧,当侦测到亚洲的某种键盘配置时就会停止攻击。除此之外,MyloBot还具备以下躲避技巧:


  • 虚拟机器反制能力;

  • 沙盒模拟分析反制能力;

  • 除错器反制能力;

  • Reflective EXE:这是一种从内存而非从磁盘执行EXE文件的罕见技巧;

  • 执行程序掏空(ProcessHollowing);

  • 代码注入;

  • 等候14天之后再开始与幕后操纵(C&C)服务器通信以躲避威胁追踪、沙盒模拟分析以及端点防护的侦测。

 

此恶意程序可让黑客完全掌控被感染的电脑,并下载新的恶意程序或从事其他不法活动,如:银行木马程序、键盘侧录程序、发动分布式阻断服务攻击(DDoS)攻击。



MyloBot在安装时会停用WindowsDefender和Windows Update,并封锁防火墙以方便其部署和进行C&C通信。此外,研究人员也发现,该程序撰写风格类似Dorkbot和Locky,或许此恶意程序的作者与之前这些恶意程序的作者(或地下市场卖家)有所交流。此外,研究人员追溯到其黑暗网络上的C&C服务器也曾用于之前的恶意程序攻击,因此更提高了这项推测的可能性。

 

MyloBot还有一项行为就是会终止并删除系统上已感染的恶意程序,它会扫描%APPDATA%文件夹底下的特定文件夹和执行文件。研究人员认为,这样的独特行为应该是为了排除其他黑客的恶意程序,以尽可能独占被感染的设备以提高获利。


亚信安全教你如何防范此类威胁?

 

今日网络犯罪集团不但要对抗安全厂商,还要和同业竞争,因此要应付像这样的威胁,我们需要更进阶、更主动的响应技术来防范攻击。以下是企业该如何保护系统和资产的一些建议:

 

  • 务必采用一套多层式防护方法来确保系统安全,从网关至端点全面防范、侦测、消除威胁;

  • 定期备份文件,采用3-2-1备份原则来降低数据损失风险;

  • 实施数据分类与网络分割。



行业热点:


业务咨询极速达,区域大咖一键“撩”


2018上半年网络安全威胁大盘点


亚信安全助力生态环境部打造云安全防护体系 “环保云”造福于民


喜报 | 亚信安全 “移动虚拟化系统”入选工信部“2017年网络安全试点示范项目”

了解亚信安全,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存