Последен ъпдейт на 28 юни 2018 в 11:26 ч.
Ботмрежа с „невиждано до момента ниво на сложност“ са открили анализаторите от израелската фирма за информационна сигурност Deep Instinct. Зловредния инструмент MyloBot Botnet включва различни техники на заразяване, сред които и възможност да изключва Windows Defender и актуализациите на Windows.
Според анализа, публикуван Том Нипавски, “торбата с трикове” на Mylobot се пръска по шевовете. Сред тях са:
- техники срещу VM
- anti-sandboxing, anti-debugging
- криптирано ядро
- техника за инжектиране на код
- скриване на процеси (когато атакуващият създава нов процес в suspended режим и замества неговия образ с този, който трябва да бъде скрит)
- reflecting EXE, който включва изпълнение на EXE файлове директно от паметта, без да се съхраняват върху диска
- механизъм за забавяне от 14 дни, преди достъп до C&C (командни) сървъри.
Структурата на самия код е много сложна – това е многофункционален злонамерен софтуер, при който всеки фрагмент отговаря за внедряването на различни възможности за атака
Том Нипавски в интервю за „Threatpost“
„Злонамереният софтуер съдържа три слоя файлове, вградени един върху друг, където всеки слой отговаря за изпълнението на следващия. Последният слой използва техниката [Reflective EXE],“ пише анализаторът.
Едно от нещата, които Mylobot прави, е да “убие” и изтрие копия на друг злонамерен софтуер на заразените машини. Той търси конкретни папки, които други ботнети използват и ги изтрива. Deep Instinct смята, че Mylobot унищожава друг злонамерен софтуер, за да зарази повече компютри и да направи повече пари за лицето или лицата, работещи с него.