安全研究人员发现了一种名为MyloBot的新型恶意软件(趋势科技将其检测为TSPY_MYLOBOT.A),该恶意软件具有复杂的规避,感染和传播技术,这表明作者拥有丰富的经验和丰富的基础设施。 研究人员发现,在一家未公开的一级数据和电信设备公司的系统中,研究人员发现MyloBot的行为包括进程挖空,反射性EXE,代码注入,勒索软件有效载荷和数据盗窃。 当这种新的恶意软件将受感染的计算机连接到一个僵尸网络中时,它还会从系统中删除所有其他恶意软件,并造成广泛的系统破坏。
[综述:网络威胁的悖论]
尽管研究人员尚未确定感染源和作者身份,但该恶意软件具有键盘布局扫描技术,可让其在发现特定亚洲字符设置时停止攻击程序。 此外,MyloBot的规避技术包括: 反虚拟机功能 防沙箱功能 防调试功能 反射性EXE,一种不常见的技术,它从内存而不是磁盘上运行EXE文件 工艺镂空 代码注入 规避指挥和控制(C&C)通信以逃避(例如威胁搜寻,沙箱和端点检测)的延迟14天
[阅读:这些坏人之后是什么,我该如何制止他们?]
该恶意软件使攻击者可以完全控制受感染的计算机,从而使他们能够为其他目的(例如银行木马,键盘记录程序和分布式拒绝服务(DDoS)使用)添加有效负载。
MyloBot在安装时将关闭Windows Defender和Windows Update,并阻止防火墙进行无阻碍的部署以及与C&C的通信。 研究人员还将编程模式与Dorkbot和Locky相关联,因为恶意软件作者可能已经在与先前的攻击者甚至地下卖方进行讨论。 当C&C服务器被追踪到黑暗的网络并被发现用于早期的恶意软件攻击时,这种连接得到了加强。
MyloBot的一个阶段也将关闭并删除系统中任何现有的恶意软件,扫描特定的目标文件夹并运行%APPDATA%文件夹中的文件。 研究人员将这种独特的行为视为对竞争威胁参与者不断增长的领域的一种反应,从而确保恶意软件作者从受害者中获得最大利益。
[阅读:KOVTER:不断发展的恶意软件变得无档案了]
不仅要与网络安全公司合作,而且还要与其他网络分子竞争,像这样的威胁将继续要求对数字勒索采取更先进,更主动的技术应对措施。 以下是一些保护企业系统和资产的建议: 确保为您的系统提供多层方法和保护,以防止,检测和消除从网关到端点的威胁。 定期备份您的文件。 练习3-2-1系统以最大程度地减少或减轻数据丢失。 采用数据分类和网络分段。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
