Mylobot คืออะไร และมัลแวร์นี้ทำงานอย่างไร

ในปี 2560 นักวิจัยด้านความปลอดภัยตรวจพบตัวอย่างมัลแวร์ประมาณ 23,000 ตัวอย่างทุกวัน ซึ่งคิดเป็นประมาณ 795 ชิ้นของมัลแวร์ที่ผลิตทุกๆ ชั่วโมง ฟังดูแย่มาก แต่จริงๆ แล้ว ตัวอย่างเหล่านี้ส่วนใหญ่เป็นมัลแวร์ที่มีอยู่หลากหลายรูปแบบ เพียงแต่ใช้โค้ดที่แตกต่างกันเพื่อสร้างลายเซ็น "ใหม่" อย่างไรก็ตาม เมื่อเร็ว ๆ นี้มัลแวร์ตัวใหม่ที่ซับซ้อนมากได้ปรากฏตัวขึ้นที่เรียกว่า Mylobot

มายโลบอตคืออะไร?

Mylobot เป็น มัลแวร์บอตเน็ตที่มีเจตนาร้ายจำนวนมาก Tom Nipravsky นักวิจัยด้านความปลอดภัยของ Deep Instinct เป็นคนแรกที่ค้นพบมัลแวร์นี้

มัลแวร์นี้รวมชุดของการติดไวรัสที่ซับซ้อนและเทคนิคการทำให้งงงวยไว้ในแพ็คเกจอันทรงพลังเพียงชุดเดียว นี่คือเทคนิคที่ใช้ใน Mylobot:

เทคนิคต่อต้านเครื่องเสมือน (VM) : มัลแวร์ นี้จะตรวจสอบสภาพแวดล้อมของคอมพิวเตอร์เพื่อหาสัญญาณ การใช้งาน เครื่องเสมือนหากพบว่ามีข้อบ่งชี้ว่าผู้ใช้กำลังใช้เครื่องเสมือน เครื่องจะไม่ทำงาน
เทคนิคต่อต้านแซนด์บ็อกซ์ : คล้ายกับเทคนิคต่อต้านเครื่องเสมือนมาก

ดูเพิ่มเติม: 7 แอปพลิเคชั่น Sandbox ที่ดีที่สุดสำหรับ Windows 10

เทคนิคการป้องกันการแก้ไขข้อบกพร่อง : ป้องกันนักวิจัยด้านความปลอดภัยจากการทำงานกับตัวอย่างมัลแวร์อย่างมีประสิทธิภาพโดยการเปลี่ยนพฤติกรรมของโปรแกรมแก้ไขข้อบกพร่องบางโปรแกรม
ล้อมส่วนภายในด้วยไฟล์ทรัพยากรที่เข้ารหัส : ปกป้องโค้ดภายในของมัลแวร์ด้วยการเข้ารหัส
เทคนิคการโจมตีด้วยการแทรกโค้ด : Mylobot รันโค้ดที่กำหนดเองเพื่อโจมตีระบบ ทำให้กระบวนการติดไวรัสด้วยโค้ดนี้เพื่อเข้าถึงและขัดขวางการทำงานปกติ
หมายเลขอ้างอิงว่างเปล่า : ผู้โจมตีสร้างกระบวนการใหม่ในสถานะถูกระงับ จากนั้นแทนที่ด้วยกระบวนการที่ซ่อนอยู่
เทคนิค EXE แบบสะท้อน : เรียกใช้ไฟล์ EXE จากหน่วยความจำแทนบนไดรฟ์
กลไกการหน่วงเวลา : มัลแวร์จะล่าช้า 14 วันก่อนเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม

Mylobot ใช้เทคนิคที่หลากหลายเพื่อซ่อนตัว

เทคนิคการป้องกันแซนด์บ็อกซ์ ป้องกันการแก้ไขข้อบกพร่อง และป้องกันเสมือนพยายามป้องกันไม่ให้ตรวจพบมัลแวร์ในระหว่างการสแกนด้วยซอฟต์แวร์ป้องกันมัลแวร์รวมทั้งป้องกันไม่ให้นักวิจัยด้านความปลอดภัยแยกมัลแวร์บนเครื่อง สภาพแวดล้อมเสมือนหรือแซนด์บ��อกซ์สำหรับการวิเคราะห์และการวิจัย .

Mylobot ใช้ Mirror EXE เพื่อให้ตรวจจับได้ยากขึ้น เนื่องจากไม่ได้ทำงานบนไดรฟ์โดยตรง ดังนั้นจึงไม่สามารถวิเคราะห์ด้วยซอฟต์แวร์ป้องกันไวรัสหรือมัลแวร์ได้

“โครงสร้างโค้ดของมันซับซ้อนมาก นี่เป็นมัลแวร์แบบมัลติเธรด แต่ละเธรดมีหน้าที่รับผิดชอบในการใช้ความสามารถที่แตกต่างกันของมัลแวร์” Nipravsky เขียนในโพสต์ และยังกล่าวถึง: “มัลแวร์นี้มีไฟล์สามชั้นซ้อนกัน โดยแต่ละเลเยอร์มีหน้าที่รับผิดชอบในการดำเนินการถัดไป ชั้นสุดท้ายใช้เทคนิคสะท้อนแสง EXE"

นอกเหนือจากเทคนิคการป้องกันการวิเคราะห์และการป้องกันการตรวจจับแล้ว Mylobot ยังสามารถหน่วงเวลาเป็นเวลา 14 วัน จากนั้นทำการติดต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม เมื่อ Mylobot ทำการเชื่อมต่อ บ็อตเน็ตจะปิด Windows DefenderและWindows Updateรวมถึงปิดพอร์ต Windows Firewall บางพอร์ต

Mylobot ค้นหาและกำจัดมัลแวร์ประเภทอื่นๆ

หนึ่งในคุณสมบัติที่น่าสนใจและหายากของมัลแวร์ Mylobot นี้คือมีความสามารถในการค้นหาและทำลายมัลแวร์อื่นๆ ไม่เหมือนกับมัลแวร์อื่นๆ Mylobot พร้อมที่จะทำลายมัลแวร์ประเภทนี้หากมีอยู่ในระบบ โดยจะสแกนโฟลเดอร์ Application Data ของระบบเพื่อหาไฟล์และโฟลเดอร์มัลแวร์ทั่วไป หากพบไฟล์หรือกระบวนการใดโดยเฉพาะ Mylobot จะ "ปิด" มัน

แล้ว Mylobot ทำอะไรกันแน่?

หน้าที่หลักของ Mylobot คือการควบคุมระบบ ซึ่งผู้โจมตีสามารถเข้าถึงข้อมูลการเข้าสู่ระบบออนไลน์ ไฟล์ระบบ ฯลฯ ระดับของความเสียหายขึ้นอยู่กับผู้โจมตีระบบ มันสามารถก่อให้เกิดความเสียหายอย่างใหญ่หลวงโดยเฉพาะอย่างยิ่งเมื่อแทรกซึมเข้าไปในสภาพแวดล้อมขององค์กร

Mylobot ยังเชื่อมโยงกับบอทเน็ตอื่น ๆ เช่น DorkBot, Ramdo และเครือข่าย Locky ที่น่าอับอาย หาก Mylobot ทำหน้าที่เป็น "ช่องทาง" สำหรับบอทเน็ตและมัลแวร์ประเภทอื่น ๆ นี่ถือเป็นหายนะที่แท้จริง

วิธีตอบโต้ Mylobot

ข่าวร้ายก็คือ Mylobot ติดไวรัสในระบบมานานกว่าสองปีแล้ว เซิร์ฟเวอร์คำสั่งและการควบคุมถูกค้นพบครั้งแรกในเดือนพฤศจิกายน 2558 Mylobot หลบเลี่ยงนักวิจัยและบริษัทรักษาความปลอดภัยอื่นๆ ทั้งหมดมาเป็นเวลานาน ก่อนที่จะถูกค้นพบโดยเครื่องมือวิจัยเครือข่าย "การเรียนรู้เชิงลึก" ของ Deep Instinct

เครื่องมือป้องกันไวรัสและมัลแวร์แบบทั่วไปไม่สามารถป้องกัน Mylobot ได้อย่างน้อยในขณะนี้ ขณะนี้ตัวอย่าง Mylobot พร้อมใช้งานแล้ว นักวิจัยและบริษัทรักษาความปลอดภัยจำนวนมากสามารถใช้ตัวอย่างดังกล่าวเพื่อค้นหามาตรการต่อต้านมัลแวร์นี้ได้

ในระหว่างนี้ คุณควรตรวจสอบรายการเครื่องมือป้องกันไวรัสและความปลอดภัยคอมพิวเตอร์ของ เรา แม้ว่าเครื่องมือเหล่านี้จะไม่สามารถทำลาย Mylobot ได้ แต่ก็สามารถหยุดมัลแวร์อื่นๆ ได้ นอกจากนี้ คุณสามารถดูบทความลบซอฟต์แวร์ที่เป็นอันตราย (มัลแวร์) บนคอมพิวเตอร์ Windows 10 ได้อย่างสมบูรณ์

ดูเพิ่มเติม:

Tags: #mylobot #มัลแวร์ mylobot #mylobot คืออะไร #mylobot ทำงานอย่างไร #เทคนิคที่ใช้ใน mylobot #การกำจัด mylobot

One UI สำหรับ Android คืออะไร

One UI แทนที่ Samsung Experience เป็นอินเทอร์เฟซที่กำหนดเองของ Samsung สำหรับ Android เรียบง่าย ไม่เกะกะ และออกแบบมาเพื่อแสดงเฉพาะข้อมูลที่จำเป็น ช่วยลดสิ่งรบกวนสมาธิ

เรียนรู้เกี่ยวกับเดซิเบล (dB) ในเครือข่ายคอมพิวเตอร์

เดซิเบล (dB) เป็นหน่วยวัดมาตรฐาน ใช้ในการวัดความแรงของสัญญาณเครือข่ายแบบมีสายและไร้สาย

13 เหตุผลที่คุณ��วรใช้ VPN

เครือข่ายส่วนตัวเสมือนมีราคาไม่แพง ใช้งานง่าย และเป็นองค์ประกอบสำคัญของการตั้งค่าคอมพิวเตอร์และสมาร์ทโฟน นอกจากไฟร์วอลล์และโซลูชั่นป้องกันไวรัส/มัลแวร์แล้ว คุณควรติดตั้ง VPN เพื่อให้ทุกช่วงเวลาที่คุณออนไลน์เป็นส่วนตัวโดยสมบูรณ์

เรียนรู้เกี่ยวกับโปรโตคอล Telnet

Telnet เป็นโปรโตคอลบรรทัดคำสั่งที่ใช้จัดการอุปกรณ์ต่างๆ เช่น เซิร์ฟเวอร์ พีซี เราเตอร์ สวิตช์ กล้อง ไฟร์วอลล์จากระยะไกล

การทุจริตข้อมูลคืออะไร?

เมื่อมีคนหารือเกี่ยวกับการรักษาข้อมูลที่ละเอียดอ่อน คุณอาจได้ยินคำว่า "ความเสียหายของข้อมูล" “ข้อมูลเสียหาย” คืออะไร และคุณจะแก้ไขไฟล์ของคุณได้อย่างไรหากมีสิ่งผิดปกติเกิดขึ้น?

Catalyst Control Center (CCC.exe) คืออะไร

Catalyst Control Center เป็นยูทิลิตี้ที่มาพร้อมกับไดรเวอร์ ซึ่งช่วยให้การ์ดแสดงผล AMD ทำงาน จะปรากฏเป็น CCC.exe ในตัวจัดการงานของผู้ใช้ และในกรณีส่วนใหญ่ คุณจะไม่ต้องกังวลเกี่ยวกับเรื่องนี้

มัลแวร์ Code-Signed คืออะไร และจะหลีกเลี่ยงได้อย่างไร

การลงนามโค้ดเป็นวิธีการใช้ลายเซ็นดิจิทัลตามใบรับรองสำหรับซอฟต์แวร์เพื่อให้ระบบปฏิบัติการและผู้ใช้สามารถกำหนดความปลอดภัยได้ มัลแวร์ที่ลงนามด้วยรหัสคืออะไรและทำงานอย่างไร

เรียนรู้เกี่ยวกับไฟร์วอลล์คลาวด์

เมื่อเทคโนโลยีรอบตัวเราพัฒนาขึ้น ไฟร์วอลล์ก็ต้องถูกนำมาไว้บนคลาวด์ด้วยเพื่อให้ตามทันกระแส นั่นคือสาเหตุที่คำว่าไฟร์วอลล์คลาวด์ถือกำเนิดขึ้น