Mylobot とは何ですか? このマルウェアはどのように機能しますか?

2017 年、セキュリティ研究者は毎日約 23,000 個のマルウェアサンプルを検出しました。これは、1 時間あたり約 795 個のマルウェアが生成されることになります。ひどいことのように聞こえますが、実際には、これらのサンプルの大部分は既存のマルウェアの亜種であり、「新しい」シグネチャを作成するために別のコードを使用しているだけです。しかし、最近、Mylobot と呼ばれる、非常に洗練された新しいマルウェアが出現しました。

マイロボットとは何ですか？

Mylobot は、多数の悪意のある意図を含むボットネットマルウェアです。 Deep Instinct のセキュリティ研究者である Tom Nipravsky が、このマルウェアを最初に発見しました。

Mylobot とは何ですか? このマルウェアはどのように機能しますか?

このマルウェアは、一連の複雑な感染技術と難読化技術を 1 つの強力なパッケージに組み合わせています。 Mylobot で使用されるテクニックは次のとおりです。

反仮想マシン (VM) 技術: このマルウェアは、コンピュータ環境で仮想マシンの使用の兆候を調べます。ユーザーが仮想マシンを使用している兆候が見つかった場合、仮想マシンは実行されません。
アンチサンドボックス手法: アンチ仮想マシン手法と非常によく似ています。

詳細を見る: Windows 10 向けの 7 つのベストサンドボックスアプリケーション

アンチデバッグ技術: 特定のデバッグプログラムの動作を変更することで、セキュリティ研究者がマルウェアサンプルに効果的に取り組むことを防ぎます。
暗号化されたリソースファイルで内部をラップする: マルウェアの内部コードを暗号化で保護します。
コードインジェクション攻撃手法: Mylobot はカスタムコードを実行してシステムを攻撃し、このコードでプロセスに感染して通常の操作にアクセスして妨害します。
空のハンドル: 攻撃者は、一時停止状態で新しいプロセスを作成し、それを非表示のプロセスに置き換えます。
リフレクティブ EXE テクニック: EXE ファイルをドライブ上ではなくメモリから実行します。
遅延メカニズム: マルウェアは、コマンドアンドコントロールサーバーに接続するまでに 14 日間遅延します。

Mylobot は、隠れ続けるためにさまざまなテクニックを実行します。

アンチサンドボックス、アンチデバッグ、およびアンチ仮想マシン技術は、マルウェア対策ソフトウェアによるスキャン中にマルウェアが検出されるのを防ぐだけでなく、セキュリティ研究者がマシン上のマルウェアを隔離することを防ぐことを試みます。分析と研究のための仮想またはサンドボックス環境。

Mylobot は、Reflective EXE を使用して検出をさらに困難にしています。これは、ドライブ上で直接動作しないため、ウイルス対策ソフトウェアやマルウェア対策ソフトウェアで分析できないためです。

「そのコード構造は非常に複雑で、これはマルチスレッドのマルウェアであり、各スレッドがマルウェアのさまざまな機能の実装を担当します」とニプラフスキー氏は投稿で書いた。また、次のようにも述べられています。「このマルウェアには、相互にネストされた 3 つのファイル層が含まれており、各層が次のファイルの実行を担当します。最後のレイヤーでは、Reflective EXE 技術を使用します。

Mylobot は、分析防止および検出防止技術を併用することで、14 日間遅延してからコマンドアンドコントロールサーバーに接続することができます。 Mylobot が接続を確立すると、ボットネットはWindows DefenderとWindows Updateをオフにし、いくつかの Windows ファイアウォールポートを閉じます。

Mylobot は他の種類のマルウェアを検索して駆除します

この Mylobot マルウェアの興味深い珍しい機能の 1 つは、他のマルウェアを検索して破壊する機能があることです。他のマルウェアとは異なり、Mylobot はこれらのタイプのマルウェアがシステム上に存在する場合、それを破壊する準備ができています。システムのアプリケーションデータフォルダーをスキャンして、一般的なマルウェアファイルとフォルダーを探します。特定のファイルまたはプロセスが見つかった場合、Mylobot はそれを「強制終了」します。

では、Mylobot は具体的に何をするのでしょうか?

Mylobot の主な機能はシステムを制御することであり、そこから攻撃者はオンラインログイン情報やシステムファイルなどにアクセスできます。被害のレベルはシステム攻撃者によって異なります。特に企業環境に侵入すると、大きな損害を引き起こす可能性があります。

Mylobot は、DorkBot、Ramdo、悪名高い Locky ネットワークなどの他のボットネットにもリンクしています。 Mylobot がボットネットやその他の種類のマルウェアの「経路」として機能する場合、これは本当の惨事です。

マイロボットに対抗する方法

悪いニュースは、Mylobot が 2 年以上にわたってシステムに感染していることです。そのコマンド＆コントロールサーバーは、2015 年 11 月に初めて発見されました。 Mylobot は、Deep Instinct の「深層学習」ネットワーク研究ツールによって発見されるまで、長い間他のすべての研究者やセキュリティ会社から逃れてきました。

従来のウイルス対策ツールやマルウェア対策ツールは、少なくとも当面は Mylobot を防ぐことができません。 Mylobot のサンプルが入手可能になったので、多くの研究者やセキュリティ企業がそれを使用してこのマルウェアに対する対策を見つけることができます。

それまでの間、ウイルス対策およびコンピュータセキュリティツールのリストをチェックしてください。これらのツールは Mylobot を破壊することはできませんが、他のマルウェアを阻止することはできます。さらに、「 Windows 10 コンピューター上の悪意のあるソフトウェア (マルウェア) を完全に削除する」という記事を参照してください。

続きを見る：

Tags: #mylobot #mylobot マルウェア #mylobot とは #mylobot の仕組み #mylobot で使用される技術 #mylobot の削除

Android 向け One UI とは何ですか?

One UI は、Samsung Experience を Android 用の Samsung カスタムインターフェイスとして置き換えます。シンプルで整然としており、重要な情報のみを表示するように設計されているため、気が散ることが少なくなります。

コンピューターネットワークのデシベル (dB) について学ぶ

デシベル (dB) は、有線および無線ネットワーク信号の強度を測定するために使用される標準測定単位です。

VPN を使用すべき 13 の理由

仮想プライベートネットワークは手頃な価格で使いやすく、コンピューターやスマートフォンのセットアップの重要な要素です。ファイアウォールやウイルス対策/マルウェア対策ソリューションと合わせて、VPN をインストールして、オンラインで過ごすすべての瞬間を完全にプライベートに保つ必要があります。

Telnet プロトコルについて学ぶ

Telnet は、サーバー、PC、ルーター、スイッチ、カメラ、ファイアウォールなどのさまざまなデバイスをリモートで管理するために使用されるコマンドラインプロトコルです。

データ破損とは何ですか?

機密データの保存について議論するとき、おそらく「データ破損」という言葉を聞くでしょう。では、「データ破損」とは何ですか?何か問題が発生した場合はどうすればファイルを修復できるのでしょうか?

Catalyst Control Center (CCC.exe) とは何ですか?

Catalyst Control Center は、ドライバーに付属するユーティリティで、AMD ビデオカードの動作を支援します。ユーザーのタスクマネージャーには CCC.exe として表示されますが、ほとんどの場合、これについて心配する必要はありません。

コード署名されたマルウェアとは何ですか?またそれを回避する方法は何ですか?

コード署名は、オペレーティングシステムとユーザーがソフトウェアの安全性を判断できるように、ソフトウェアに証明書ベースのデジタル署名を使用する方法です。コード署名されたマルウェアとは何ですか?また、どのように機能しますか?

クラウドファイアウォールについて学ぶ

私たちの周りのテクノロジーが進化するにつれて、そのトレンドに遅れないようファイアウォールもクラウドに導入する必要があります。これが、クラウドファイアウォールという用語が生まれた理由です。