Den Mylobot botnet er blevet opdaget i en nylig verdensomspændende angreb, ved analyse har det vist sig at indeholde en avanceret malware motor. Det kan udføre flere forskellige komponenter afhængigt af de mål,, hackerne bag det er stadig ukendt.
Mylobot botnet Infektion Mechanism
De Mylobot botnet-angreb blev opdaget under en rutinemæssig cybersikkerhed evaluering af et sikkerhedsteam. Den offentliggjorte analyse afslører, at botnettet omfatter både en sofistikeret infektion metode og en post-infektion adfærdsmønster, som er baseret på en meget tilpasses motor. Forskerne bemærke, at dette har produceret et botnet, der aktuelt bedømt som en af de mest sofistikerede. Samtidig er der ingen oplysninger om identiteten af hacker eller kriminelle kollektiv bag det.
De offentliggjorte rapporter giver ikke afsløre den nøjagtige infektion mekanisme som opdagelsen blev foretaget på systemer, der allerede var kompromitteret. I betragtning af situationen er der flere mulige indgange at den skadelige kode kunne have brugt.
En af mulighederne er brugen af inficerede e-mails, især dem, der er afhængige af social engineering teknikker. De kriminelle kan forsøge at skabe falske meddelelser og underretninger, der bruger navnene, tekst og grafik af berømte virksomheder. De kan indeholde indeholde vedhæftet kopier eller hyperlinks anbragt i kroppen indhold. Infektioner kan også være forårsaget af inficerede nyttelast såsom malware kopier af anvendelsesområder installatører eller makro-inficerede dokumenter.
Den botnet kan også downloades fra falske download sites der kunne bruge en lignende skabelon og domænenavn til populære tjenester og kendte portaler. De kan også anvende scripts såsom pop-ups, omdirigeringer, in-line hyperlinks, bannere og etc.
En storstilet Mylobot botnet infektion kan fremstilles ved anvendelse direkte angreb netværk. De er udført ved at målrette eventuelle sårbare komponenter, der er indlæst i automatiserede penetration testkit. De kan blive lanceret mod hele netværket på samme tid.
Mylobot Botnet Capabilities
Den Mylobot botnet malware motor har vist sig at indeholde flere komponenter, der kan beskytte sig selv fra afsløring. Dette har forhindret sikkerhedssoftware fra fangst sine signaturer. De indsamlede prøver har vist at omfatte særlige beskyttelsesforanstaltninger, der beskytter virus fra alle mulige applikationer. Listen omfatter anti-virus programmer, firewalls, debugging miljøer og virtuelle maskiner værter. De associerede kopier kan enten bypass eller helt fjerne sikkerhedssoftwaren. Visse Mylobot botnet prøver kan konfigureres til at fjerne sig, hvis de ikke kan udføre disse trin.
Når den vigtigste Mylobot botnet motor er blevet indsat på de målcomputerne det starter en høst af data komponent, der er programmeret til at kapre de følgende typer data:
- Andre virusinfektioner - En vigtig del af Mylobot botnet motor er, at den er i stand til at påvise tilstedeværelsen af andre malware. Det kan fjerne dem eller omgå kun de handlinger, der kan forårsage en konflikt med sin egen henrettelse.
- Personlig data - Det Mylobot botnet kan bruge en kompleks motor, der kan høste en masse følsomme data om ofrene. Den afslørede oplysninger kan udsætte brugerens identitet: deres navn, adresse, telefonnummer, placering, adgangskoder, kontooplysninger og etc.
- Kampagne Metrics - De data høst motor kan afsløre en masse data om de inficerede enheder, som kan føre til kampagneoptimeringer i efterfølgende angreb. For eksempel kan dette omfatte en profil af alle installerede hardwarekomponenter og etc.
Efter modulet henrettelse det vil installere sig selv på målet maskine som et system tjeneste. Det har vist sig at deaktivere Windows Defender og Windows Update sammen med mange porte, der normalt styres via den indbyggede Firewall. Sikkerheden analyse afslører, at alle systemets tjenester, der opererer fra den %APP DATA%. Dette kan medføre visse funktioner til at stoppe med at arbejde, og brugerne kan miste kostbar data.
Den vigtigste funktion af den Mylobot botnet er lanceringen af sin Trojan komponent. Det er en avanceret motor af sine egne, der kan oprette forbindelse til en hacker-kontrollerede server og udføre fjernkommandoer, udspionere ofrene og overtage kontrollen over deres maskiner på et givet tidspunkt. Ved hjælp af denne sikker forbindelse kan det også bruges til at implementere yderligere trusler mod de mål,.
Som det ser ud til at målrette computere på globalt plan vi spekulere, at angrebene er drevet mod store virksomheder eller offentlige netværk. Det er meget muligt, at de igangværende angreb kampagner er målrettet til at trænge kun en nøje overvåget sæt af computere.
Mylobot botnet s Anvendelse i fremtidige angreb
Den Mylobot botnet kan anvendes som en effektiv løsning mod en lang række mål. Sikkerheden analyse, præsenterede sine kapaciteter viser, at den underliggende motor indeholder en masse moduler, der kan omgå flere lag af sikkerhed - både netværk modforanstaltninger og desktop installationer, der er til stede på de enkelte værter. Det faktum, at de tilfangetagne stammer blev fundet efter infektioner allerede er trængt anti-virus produkter viser, at i øjeblikket er der ingen præcise oplysninger om antallet af aktive infektioner på verdensplan. Dens virkning kan variere fra enkelte brugere til store virksomheder og sågar statslige netværk.
Der er flere mulige use case scenarier, som hackere kan overholde:
- direkte angreb - Det Mylobot botnet kan bruges til at målrette prædefinerede mål ved hjælp af de præsenterede kapaciteter af virus motor.
- udbredt Attack - Den botnet kan programmeres til at forsøge og inficere mange mål på én gang. Dette gøres bedst ved at anvende mange tilfælde, der er angivet mod en foruddefineret netværk af target værter. forsøg Infektionen er normalt udføres for at køre parallelt.
- payload Levering - Den botnet bruges primært til at omgå de sikkerhedsforanstaltninger, der. Men i stedet for at udføre størstedelen af de ondsindede handlinger af sig selv det udsender en sekundær virus, der er ansvarlig for infektionen.
- Tilpassede versioner - Mylobot Botnet prøver tilbydes på de underjordiske hacker markederne og tilpasses til bestemte mål.
I alle tilfælde af infektioner forårsaget af den Mylobot botnet skal håndteres med stor forsigtighed, da de kan være meget vanskeligt at fjerne. Vi forventer at se yderligere opdateringer til sin kode, som kan gøre dem endnu sværere at opdage og fjerne.