Внимание, Mylobot!
Нова хакерска акция “отвлича” системи и ги трансформира в ботнет, като обезпечава на нападателите цялостен надзор над жертвите. Освен това, инфектираните устройства стават обикновена цел за троянски коне, DDoS офанзиви и всевъзможни други незаконни схеми.
Злонамереният програмен продукт е оборудван с три разнообразни пласта техники за отбягване на отбрани, разказани от откривателите от доставчика на решения за киберсигурност Deep Instinct, съгласно които тази вариация е извънредно комплицирана и рядко срещана.
Произходът на Mylobot, както е наименуван новият вирус, както и методът му на доставка до крайните устройства , към момента са забулени в тайнственост, Според откривателите обаче е доста евентуално той да произлиза от криптовируса Locky - една от най-сериозните форми на злоумишлен програмен продукт през миналата година.
Прочетете още: Криптовирусите става все по-предпочитани от хакерите
Сложният темперамент на ботнета допуска, че хората зад него надалеч не са дилетанти, защото Mylobot разчита на голям брой разнообразни техники за отбягване на отбраните и детекторите. Те включват принадлежности за различаване на “пясъчници”, криптирани файлове и рефлекторен EXE файл, който се извършва непосредствено от паметта, без да има потребност да е на твърдия диск. Последната техника е рядко срещана и е открита едвам през 2016 година, като главната и функционалност е да затруднява откриването и следенето на зловредния програмен продукт. Още повече, че Mylobot включва и механизъм за закъснение, който чака цели две седмици, преди да се свърже със сървърите за команди и надзор на нападателя , което също е механизъм за отбягване на отбраните.
" Целта на 14-дневния сън е да се избегне всякаква мрежова или зловредна активност, като по този метод се приспи бдителността на системите за отбрана, а по-късно пробивът става факт ", разяснява Том Ниправски, откривател по сигурността в Deep Instinct.
Веднъж конфигуриран в системата, Mylobot изключва Windows Defender и Windows Update , като в същото време блокира спомагателните портове на защитната стена. По различен метод казано, новият злоумишлен програмен продукт си подсигурява, че нищо няма да може да препятства активността му. За задачата Mylobot интензивно разпознава и изтрива и всички други типове злоумишлен програмен продукт , конфигурирани преди този момент на устройството като част от други ботнет мрежи, в случай че има такива. Причините за това са напълно разбираеми - унищожаване на конкуренцията, с цел да се подсигурява, че нападателите ще получат повсеместен надзор над най-голямата мрежа от инфектирани компютри, с цел да се възползват оптимално от злоупотребата с тях.
След като компютърът е част от ботнета, нападателят може да упражни цялостен надзор над системата и да я натовари с каквито пожелае задания и указания от сървъра за ръководство и надзор.
" Щетите зависят от това, което атакуващият пожелае да направи. То може да варира от свалянето и осъществяването на криптовируси или троянски коне до кражба на банкови сметки и така нататък Като цяло това може да докара до загуба на голямо количество данни и нужда от прекъсване на цели системи, което може да се трансформира в същинско злополучие за всяка компания”, предизвестява Ниправски. Изследователите не коментират какъв спомагателен потребен товар изтегля Mylobot, само че анализът на командните и контролните домейни, свързани него, демонстрира връзка с други криптовируси от рода на Locky.
" Според нашите проучвания IP адресът на C&C сървъра за пръв път е засечен през ноември 2015 година и е обвързван с криптовирусите DorkBot, Locky и Ramdo ", обръща внимание Ниправски.
И защото C&C е деен от две години и половина, това допуска, че екипът, който стои зад Mylobot, също е работил от известно време насам, а тактиките, които употребява, допускат добре премерена и финансирана организация.
" Ботнетът се пробва да се свърже с 1404 разнообразни домейна, макар че по време на проучванията ни единствено един беше деен. Наличието на толкоз доста регистрирани домейни е индикация за съществени запаси ", разяснява Ниправски.
Към момента злонамереният програмен продукт Mylobot не е необятно публикуван и към момента не е ясно кой е нападателят зад него и каква е крайната му цел. Но едно е несъмнено – това не е обикновена, аматьорска интервенция, а добре замислена и финансирана акция.
Злонамереният програмен продукт е оборудван с три разнообразни пласта техники за отбягване на отбрани, разказани от откривателите от доставчика на решения за киберсигурност Deep Instinct, съгласно които тази вариация е извънредно комплицирана и рядко срещана.
Произходът на Mylobot, както е наименуван новият вирус, както и методът му на доставка до крайните устройства , към момента са забулени в тайнственост, Според откривателите обаче е доста евентуално той да произлиза от криптовируса Locky - една от най-сериозните форми на злоумишлен програмен продукт през миналата година.
Прочетете още: Криптовирусите става все по-предпочитани от хакерите
Сложният темперамент на ботнета допуска, че хората зад него надалеч не са дилетанти, защото Mylobot разчита на голям брой разнообразни техники за отбягване на отбраните и детекторите. Те включват принадлежности за различаване на “пясъчници”, криптирани файлове и рефлекторен EXE файл, който се извършва непосредствено от паметта, без да има потребност да е на твърдия диск. Последната техника е рядко срещана и е открита едвам през 2016 година, като главната и функционалност е да затруднява откриването и следенето на зловредния програмен продукт. Още повече, че Mylobot включва и механизъм за закъснение, който чака цели две седмици, преди да се свърже със сървърите за команди и надзор на нападателя , което също е механизъм за отбягване на отбраните.
" Целта на 14-дневния сън е да се избегне всякаква мрежова или зловредна активност, като по този метод се приспи бдителността на системите за отбрана, а по-късно пробивът става факт ", разяснява Том Ниправски, откривател по сигурността в Deep Instinct.
Веднъж конфигуриран в системата, Mylobot изключва Windows Defender и Windows Update , като в същото време блокира спомагателните портове на защитната стена. По различен метод казано, новият злоумишлен програмен продукт си подсигурява, че нищо няма да може да препятства активността му. За задачата Mylobot интензивно разпознава и изтрива и всички други типове злоумишлен програмен продукт , конфигурирани преди този момент на устройството като част от други ботнет мрежи, в случай че има такива. Причините за това са напълно разбираеми - унищожаване на конкуренцията, с цел да се подсигурява, че нападателите ще получат повсеместен надзор над най-голямата мрежа от инфектирани компютри, с цел да се възползват оптимално от злоупотребата с тях.
След като компютърът е част от ботнета, нападателят може да упражни цялостен надзор над системата и да я натовари с каквито пожелае задания и указания от сървъра за ръководство и надзор.
" Щетите зависят от това, което атакуващият пожелае да направи. То може да варира от свалянето и осъществяването на криптовируси или троянски коне до кражба на банкови сметки и така нататък Като цяло това може да докара до загуба на голямо количество данни и нужда от прекъсване на цели системи, което може да се трансформира в същинско злополучие за всяка компания”, предизвестява Ниправски. Изследователите не коментират какъв спомагателен потребен товар изтегля Mylobot, само че анализът на командните и контролните домейни, свързани него, демонстрира връзка с други криптовируси от рода на Locky.
" Според нашите проучвания IP адресът на C&C сървъра за пръв път е засечен през ноември 2015 година и е обвързван с криптовирусите DorkBot, Locky и Ramdo ", обръща внимание Ниправски.
И защото C&C е деен от две години и половина, това допуска, че екипът, който стои зад Mylobot, също е работил от известно време насам, а тактиките, които употребява, допускат добре премерена и финансирана организация.
" Ботнетът се пробва да се свърже с 1404 разнообразни домейна, макар че по време на проучванията ни единствено един беше деен. Наличието на толкоз доста регистрирани домейни е индикация за съществени запаси ", разяснява Ниправски.
Към момента злонамереният програмен продукт Mylobot не е необятно публикуван и към момента не е ясно кой е нападателят зад него и каква е крайната му цел. Но едно е несъмнено – това не е обикновена, аматьорска интервенция, а добре замислена и финансирана акция.
Източник: pcworld.bg
КОМЕНТАРИ