Mylobotボットネットは、最近の世界的な攻撃で発見されました, 分析の結果、高度なマルウェアエンジンが含まれていることが判明しました. ターゲットに応じて、いくつかの異なるコンポーネントを実行できます, その背後にあるハッカーはまだ不明です.
Mylobotボットネット感染メカニズム
Mylobotボットネット攻撃は、セキュリティチームによる定期的なサイバーセキュリティ評価中に発見されました. 公開された分析によると、ボットネットには、高度にカスタマイズ可能なエンジンに基づく高度な感染方法と感染後の動作パターンの両方が含まれています。. 研究者は、これにより、現在最も洗練されたボットネットの1つとして評価されているボットネットが作成されたことに注目しています。. 同時に、その背後にあるハッカーまたは犯罪集団の身元について入手可能な情報はありません。.
公開されたレポートでは、すでに侵害されたシステムで発見が行われたため、正確な感染メカニズムは明らかにされていません。. 状況を考えると、いくつかあります 可能なエントリポイント 悪意のあるコードが使用した可能性があること.
オプションの1つは、 感染した電子メールメッセージ, 特に依存しているもの ソーシャルエンジニアリング テクニック. 犯罪者は、名前を使用した偽造メッセージや通知を作成しようとする可能性があります, 有名企業のテキストとグラフィック. それらは含むことができます 添付 コピーまたは ハイパーリンク ボディコンテンツに配置. 感染症はまたによって引き起こされる可能性があります 感染したペイロード そのような アプリケーションインストーラーのマルウェアコピー また マクロ感染文書.
ボットネットはからダウンロードすることもできます 偽造ダウンロードサイト 人気のあるサービスや有名なポータルと同様のテンプレートとドメイン名を使用する可能性があります. ポップアップなどのスクリプトを利用することもできます, リダイレクト, インラインハイパーリンク, バナーなど.
大規模なMylobotボットネット感染は、 直接ネットワーク攻撃. これらは、自動侵入テストキットにロードされている可能性のある脆弱なコンポーネントをターゲットにすることによって行われます。. ネットワーク全体に対して同時に起動できます.
Mylobotボットネット機能
Mylobotボットネットマルウェアエンジンには、検出から自身を保護できるいくつかのコンポーネントが含まれていることが判明しています. これにより、セキュリティソフトウェアが署名をキャッチできなくなりました. 収集されたサンプルには、あらゆる種類のアプリケーションからウイルスを保護する特別な保護手段が含まれていることが示されています. リストにはアンチウイルスプログラムが含まれています, ファイアウォール, デバッグ環境と仮想マシンホスト. 関連するコピーは、セキュリティソフトウェアをバイパスするか、完全に削除することができます. 特定のMylobotボットネットサンプルは、これらの手順を実行できない場合に自分自身を削除するように構成できます.
メインのMylobotボットネットエンジンがターゲットコンピューターにデプロイされると、 データハーベスティング 次の種類のデータを乗っ取るようにプログラムされたコンポーネント:
- その他のウイルス感染 — Mylobotボットネットエンジンの重要な部分は、他のマルウェアの存在を検出できることです。. それらを削除するか、自身の実行との競合を引き起こす可能性のあるアクションのみをバイパスすることができます.
- 個人データ — Mylobotボットネットは、被害者に関する多くの機密データを収集できる複雑なエンジンを使用できます. 公開された情報は、ユーザーの身元を明らかにする可能性があります: 彼らの名前, 住所, 電話番号, 位置, パスワード, アカウントのクレデンシャルなど.
- キャンペーンメトリクス —データ収集エンジンは、感染したデバイスに関する多くのデータを明らかにする可能性があり、その後の攻撃でキャンペーンの最適化につながる可能性があります. たとえば、これには、インストールされているすべてのハードウェアコンポーネントなどのプロファイルを含めることができます。.
モジュールの実行後、システムサービスとしてターゲットマシンにインストールされます. 無効にすることがわかっています Windows Defender と Windows Update 通常は組み込みのファイアウォールを介して制御される多くのポートとともに. セキュリティ分析により、 %アプリデータ%. これにより、特定の機能が機能しなくなり、ユーザーが貴重なデータを失う可能性があります.
Mylobotボットネットの主な機能は、 トロイの木馬コンポーネント. これは、に接続できる独自の高度なエンジンです。 ハッカー制御サーバー リモートコマンドを実行します, 犠牲者をスパイし、いつでも彼らのマシンの制御を引き継ぐ. この安全な接続を使用して、ターゲットに追加の脅威を展開することもできます.
世界規模でコンピュータを標的にしているように見えるため、攻撃は大企業または政府のネットワークに対して行われていると推測されます。. 進行中の攻撃キャンペーンが、注意深く監視された一連のコンピュータのみに侵入することを目的としている可能性が非常に高いです。.
将来の攻撃におけるMylobotボットネットの使用
Mylobotボットネットは、さまざまなターゲットに対する効果的なソリューションとして使用できます。. その機能を示したセキュリティ分析は、基盤となるエンジンに、個々のホストに存在するネットワーク対策とデスクトップインストールの両方のセキュリティのいくつかの層をバイパスできる多くのモジュールが含まれていることを示しています. 感染がすでにアンチウイルス製品に侵入した後に捕獲された株が発見されたという事実は、現時点では世界中の活動的な感染の数に関する正確な情報がないことを示しています. その影響は、個人ユーザーから大企業、さらには政府のネットワークにまで及ぶ可能性があります.
ハッカーが従うことができるいくつかの可能なユースケースシナリオがあります:
- 直接攻撃 — Mylobotボットネットは、ウイルスエンジンの提示された機能を使用して、事前定義されたターゲットをターゲットにするために使用できます。.
- 広範囲にわたる攻撃 —ボットネットは、一度に多くのターゲットに感染を試みるようにプログラムできます. これは、ターゲットホストの事前定義されたネットワークに対して設定された多くのインスタンスを使用することによって最もよく行われます。. 感染の試みは通常、並行して実行されるように実行されます.
- ペイロード配信 —ボットネットは、主にセキュリティ対策を回避するために使用されます. ただし、悪意のあるアクションの大部分を単独で実行する代わりに、感染の原因となる二次ウイルスを展開します.
- カスタマイズされたバージョン — Mylobotボットネットのサンプルは、地下のハッカー市場で提供され、特定のターゲット向けにカスタマイズされています.
すべての場合において、Mylobotボットネットによって引き起こされた感染は、除去が非常に困難になる可能性があるため、細心の注意を払って処理する必要があります。. コードがさらに更新され、検出と削除がさらに困難になることが予想されます。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: