Mylobot とは何ですか? このマルウェアはどのように機能しますか?

2017 年、セキュリティ研究者は毎日約 23,000 個のマルウェア サンプルを検出しました。これは、1 時間あたり約 795 個のマルウェアが生成されることになります。ひどいことのように聞こえますが、実際には、これらのサンプルの大部分は既存のマルウェアの亜種であり、「新しい」シグネチャを作成するために別のコードを使用しているだけです。しかし、最近、Mylobot と呼ばれる、非常に洗練された新しいマルウェアが出現しました。

マイロボットとは何ですか？

Mylobot は、多数の悪意のある意図を含むボットネットマルウェアです。 Deep Instinct のセキュリティ研究者である Tom Nipravsky が、このマルウェアを最初に発見しました。

このマルウェアは、一連の複雑な感染技術と難読化技術を 1 つの強力なパッケージに組み合わせています。 Mylobot で使用されるテクニックは次のとおりです。

• 反仮想マシン (VM) 技術: このマルウェアは、コンピュータ環境で仮想マシンの使用の兆候を調べます。ユーザーが仮想マシンを使用している兆候が見つかった場合、仮想マシンは実行されません。
• アンチサンドボックス手法: アンチ仮想マシン手法と非常によく似ています。

詳細を見る: Windows 10 向けの 7 つのベスト サンドボックス アプリケーション

• アンチデバッグ技術: 特定のデバッグ プログラムの動作を変更することで、セキュリティ研究者がマルウェア サンプルに効果的に取り組むことを防ぎます。
• 暗号化されたリソース ファイルで内部をラップする: マルウェアの内部コードを暗号化で保護します。
• コードインジェクション攻撃手法: Mylobot はカスタム コードを実行してシステムを攻撃し、このコードでプロセスに感染して通常の操作にアクセスして妨害します。
• 空のハンドル: 攻撃者は、一時停止状態で新しいプロセスを作成し、それを非表示のプロセスに置き換えます。
• リフレクティブ EXE テクニック: EXE ファイルをドライブ上ではなくメモリから実行します。
• 遅延メカニズム: マルウェアは、コマンド アンド コントロール サーバーに接続するまでに 14 日間遅延します。

Mylobot は、隠れ続けるためにさまざまなテクニックを実行します。

アンチサンドボックス、アンチデバッグ、およびアンチ仮想マシン技術は、マルウェア対策ソフトウェアによるスキャン中にマルウェアが検出されるのを防ぐだけでなく、セキュリティ研究者がマシン上のマルウェアを隔離することを防ぐことを試みます。分析と研究のための仮想またはサンドボックス環境。

Mylobot は、Reflective EXE を使用して検出をさらに困難にしています。これは、ドライブ上で直接動作しないため、ウイルス対策ソフトウェアやマルウェア対策ソフトウェアで分析できないためです。

「そのコード構造は非常に複雑で、これはマルチスレッドのマルウェアであり、各スレッドがマルウェアのさまざまな機能の実装を担当します」とニプラフスキー氏は投稿で書いた。また、次のようにも述べられています。「このマルウェアには、相互にネストされた 3 つのファイル層が含まれており、各層が次のファイルの実行を担当します。最後のレイヤーでは、Reflective EXE 技術を使用します。

Mylobot は、分析防止および検出防止技術を併用することで、14 日間遅延してからコマンド アンド コントロール サーバーに接続することができます。 Mylobot が接続を確立すると、ボットネットはWindows DefenderとWindows Updateをオフにし、いくつかの Windows ファイアウォール ポートを閉じます。

Mylobot は他の種類のマルウェアを検索して駆除します

この Mylobot マルウェアの興味深い珍しい機能の 1 つは、他のマルウェアを検索して破壊する機能があることです。他のマルウェアとは異なり、Mylobot はこれらのタイプのマルウェアがシステム上に存在する場合、それを破壊する準備ができています。システムのアプリケーション データ フォルダーをスキャンして、一般的なマルウェア ファイルとフォルダーを探します。特定のファイルまたはプロセスが見つかった場合、Mylobot はそれを「強制終了」します。

では、Mylobot は具体的に何をするのでしょうか?

Mylobot の主な機能はシステムを制御することであり、そこから攻撃者はオンライン ログイン情報やシステム ファイルなどにアクセスできます。被害のレベルはシステム攻撃者によって異なります。特に企業環境に侵入すると、大きな損害を引き起こす可能性があります。

Mylobot は、DorkBot、Ramdo、悪名高い Locky ネットワークなどの他のボットネットにもリンクしています。 Mylobot がボットネットやその他の種類のマルウェアの「経路」として機能する場合、これは本当の惨事です。

マイロボットに対抗する方法

悪いニュースは、Mylobot が 2 年以上にわたってシステムに感染していることです。そのコマンド＆コントロールサーバーは、2015 年 11 月に初めて発見されました。 Mylobot は、Deep Instinct の「深層学習」ネットワーク研究ツールによって発見されるまで、長い間他のすべての研究者やセキュリティ会社から逃れてきました。

従来のウイルス対策ツールやマルウェア対策ツールは、少なくとも当面は Mylobot を防ぐことができません。 Mylobot のサンプルが入手可能になったので、多くの研究者やセキュリティ企業がそれを使用してこのマルウェアに対する対策を見つけることができます。

それまでの間、ウイルス対策およびコンピュータ セキュリティ ツールのリストをチェックしてください。これらのツールは Mylobot を破壊することはできませんが、他のマルウェアを阻止することはできます。さらに、 「 Windows 10 コンピューター上の悪意のあるソフトウェア (マルウェア) を完全に削除する 」という記事を参照してください。

続きを見る：

• コンピューターがマルウェアに感染していることに気付いたときにすべき 9 つのこと
• あなたは何種類のマルウェアを知っていますか?また、それらを防ぐ方法を知っていますか?
• 代表的なマルウェア10種類