Mylobot——一種使用高複雜度逃避技術的新型殭屍網路
來自專欄嘶吼RoarTalk
上周二(6月20號),Deep Instinct的安全研究員Tom Nipravsky發布了一篇安全分析博客,裡面提到了一個叫做Mylobot的新型殭屍網路。根據初步地分析,Mylobot是一種使用了高複雜度技術的新型殭屍網路,目前,它在暗網上非常的走紅。而且Mylobot早在2015年的11月就已經出現,目前Mylobot的各種迭代版本已經很多了,所以可見,Mylobot在逃避技術的層面上表現出前所未有的複雜程度。
高複雜度的逃避技術
高複雜度的逃避技術包括反虛擬機(anti-VM)、反沙盒(anti-sandboxing)、反調試(anti-debugging)、使用加密的資源文件對內部部件進行封裝、代碼注入、process hollowing(攻擊者會在正常運行暫停狀態下創建一個新進程,並用隱藏的惡意進程替換原來的映像)、反射式EXE。攻擊者可以利用反射式EXE技術直接從內存執行EXE文件,而不需要將它們放在磁碟上,以避免留下使用痕迹。除此之外,Mylobot中還有一個延遲回應機制,即Mylobot會將其本應立即發送到命令和控制(C&C)伺服器的信息,延遲14天發送。
截止目前,Nipravsky對Mylobot的分析還非常的有限,用他的話來說就是:
代碼本身的結構非常複雜,原因在於它是一個多線程的惡意軟體,每個線程負責實現惡意軟體的不同功能。其中,惡意軟體包含三層相互嵌套的文件,每層負責執行下一層文件,最後一層使用的反射式EXE技術。這意味著,Mylobot所執行的任何進程,都發生在內存中,而與此同時,攻擊者會使用代碼注入在外部進程中執行殭屍網路的主要攻擊,這使得它很難被檢測和追蹤到。
就功能而言,無論是加密軟體、勒索軟體、銀行木馬、間諜軟體還是其他軟體,Mylobot都可用於下載受害者選擇的任何有效載荷。Mylobot也可以用於DDoS攻擊,在對Mylobot發起的攻擊進行分析時,研究人員發現它正在下載DorkBot後門。Dorkbot是一個臭名昭著的殭屍網路,傳播途徑也非常廣泛,包括了USB設備、IM客戶端、社交網路、電子郵件,還有隱蔽式下載。Dorkbot的主要攻擊目標就是盜取用戶憑證,以及各種能夠識別個人身份的信息。它同時還能夠在你的PC上,通過控制伺服器安裝更多的惡意程序。這意味著,Mylobot和DorkBot一定存在著某種聯繫。
更糟糕的是,Mylobot的當前傳播方式還沒有被分析出來,Nipravsky解釋到:
值得一提的是,Mylobot的命令和控制伺服器(C&C)並沒有載入屬於DorkBot的二進位文件,而是通過發出命令,從其他伺服器上下載DorkBot。Mylobot殭屍網路的主要攻擊目的是使攻擊者能夠完全控制被劫持用戶的系統,然後用他們的系統作為命令和控制伺服器下載額外有效載荷的門戶。
有趣的是,Mylobot一旦感染了該設備,就會開始在目標機器上尋找其他惡意軟體,並禁用它們。
Nipravsky通過分析發現:
Mylobot除了完成自身的攻擊功能外,主要功能之一就是防止其他惡意軟體和自己爭奪殭屍網路資源。所以,Mylobot中會有一段代碼專門用來終止並刪除從Application Data文件夾運行的其他任何惡意進程,這是因為大部分惡意軟體都存在於該文件夾中。除此之外,Mylobot還會搜索其他特定文件夾中所存在的殭屍網路。
這可能是網路犯罪市場競爭日益激烈的一個表現,由於目前,黑客攻擊的門檻越來越低,產業鏈越來越明細分工,所以這個領域出現這樣的情況,也是可以理解的。
根據Nipravsky的發現:
暗網在惡意軟體傳播中扮演著重要角色,黑客攻擊的服務專業化和相關知識的普及性,使得任何攻擊者都可以輕鬆發起攻擊。通過使用暗網,如今任何人都可以進入該領域併購買惡意軟體。攻擊者可以購買攻擊工具包,購買成千上萬用戶的網頁流量,甚至可以購買全套勒索軟體為自己服務。
有趣的是,Mylobot這個稱呼,還是Nipravsky以他同事的一條狗的名字命名的。Deep Deep Instinct是以色列的一家網路安全公司,使用基於GPU的神經網路和CUDA實現99%的檢測率,而傳統網路安全軟體的檢測率約為80%。其具有可以自動識別惡意軟體並將其殺死在萌芽狀態的專利技術,整個過程都不需要病毒庫的支持。得一提的是,以Deep Instinct為代表的以色列網路安全企業還有很多。目前,以色列已經成為僅次於美國的,全球第二大網路安全產品和服務出口國。
Mylobot的真正攻擊目的
Nipravsky預計這種殭屍網路如此罕見和獨特,可能是幕後開發者為了賣出一個好價錢,從目前的證據來看,僅僅是出於經濟目的,沒有其他目的。不過有一點可以肯定,就是開發Mylobot的人,絕非等閑之輩,各個方面和操作邏輯都非常專業,絕不是一些業餘的黑客能比的。至於具體的幕後者,目前還沒有跡象顯示是誰。
不過,Nipravsky表示,在檢查C&C伺服器之後,事實證明,Mylobot已多次出現在其他惡意攻擊活動中,而所有這些活動均來自暗網。由此可知,Mylobot背後的開發者可能參與了這一系列的攻擊活動。
根據Deep Instinct的研究,Mylobot的C&C伺服器的IP在2015年11月首次出現,並且與DorkBot,Locky和Redyms/Ramdo(點擊欺詐惡意軟體)相關聯。
在資源利用方面,研究人員看到Mylobot殭屍網路試圖連接到1404個不同的域名(在撰寫此研究時,只有一個域名可用)。不過目前,Mylobot殭屍網路並沒有廣泛被傳播,研究人員猜測,它可能是對攻擊的目標有特別指向,不過所有這一切都有待深入研究。
本文翻譯自:https://threatpost.com/mylobot-botnet-emerges-with-rare-level-of-complexity/132967/如若轉載,請註明原文地址: http://www.4hou.com/mobile/12202.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※「洞察合天,金石為開」-GoldStone神秘面紗輕啟!
※如何結合BurpSuite進行自動化SQL注入檢測
※零知識證明與公鑰密碼體制有何聯繫,是不是公鑰密碼體制本身的簽名就是一種零知識證明?
※什麼是 HMAC-MD5?
※一個月太久,只爭朝夕
TAG:信息安全 |