Ботнет MyloBot вызывает у исследователей недоумение и беспокойство

Опубликовано: 3 Апреля, 2023
Ботнет MyloBot вызывает у исследователей недоумение и беспокойство

Атаки с использованием ботнетов являются одним из наиболее известных методов киберпреступности в современном ландшафте угроз. Их мощность, дальность атаки, простота использования и уровень настройки — все это делает дразнящий инструмент для использования черными шляпами во всем мире. Некоторые ботнеты мощнее и сложнее других, но в целом специалисты по информационной безопасности способны разработать защитные меры для противодействия их последствиям (по крайней мере, в определенной степени). Однако более сильные и сложные ботнеты могут стать головной болью для исследователей и ИТ-подразделений. Именно эту реальность демонстрируют недавние исследования сообществу специалистов по информационной безопасности благодаря работе Тома Ниправски, исследователя безопасности из Deep Instinct. В своем отчете Ниправски излагает обширный анализ ботнета MyloBot, который он рекламирует как демонстрирующий «редкое и уникальное поведение», одновременно предупреждая, что он уже был обнаружен в дикой природе.

MyloBot демонстрирует впечатляющий набор способностей, включая следующие:

  • Методы защиты от ВМ
  • Методы борьбы с песочницей
  • Методы защиты от отладки
  • Обертывание внутренних частей зашифрованным файлом ресурсов
  • Внедрение кода
  • Процесс долбления
  • Светоотражающий EXE
  • Возможность отложить передачу данных на 14 дней перед доступом к своим серверам управления и контроля.

Основная функция ботнета MyloBot, по-видимому, заключается в получении полного контроля над машинами жертвы. В исследовательском сообщении указывается, что «он ведет себя как шлюз для загрузки дополнительных полезных данных с серверов управления и контроля». Эти полезные нагрузки включают программы-вымогатели, банковские трояны, вредоносные программы для криптомайнинга и другие разрушительные формы вредоносных программ. Это указывает на то, что мотивы, стоящие за MyloBot, связаны с деньгами, но, конечно, при полном доступе к машине все возможно, и следует учитывать все мотивы.

Что затрудняет защиту ботнета MyloBot, так это то, что его основные процессы происходят в его памяти, что делает его, по словам Тома Ниправски, «еще труднее обнаружить и отследить». Кроме того, «три разных уровня техники уклонения» используются таким образом, что это делает его одним из самых сложных ботнетов на сегодняшний день. Ботнет, скорее всего, как и подавляющее большинство ботнетов, из Даркнета. Одним из показателей этого является то, что MyloBot активно ищет в папках следы других ботнетов, чтобы загрузить их (т. е. удалить любое вредоносное ПО, связанное с ними). Это показывает определенную конкуренцию, которая достигает апогея в сообществе черных шляп, где ботнеты пытаются получить больше места. Это имеет смысл, так как больше места (то есть больше клиентов, приобретающих DDoS как услугу) означает большую прибыль для преступников, стоящих за этой операцией.

MyloBot — новичок в этом районе, но он уже кажется подготовленным и готовым уничтожить все на своем пути.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023