Mylobot僵尸网络“升级”:Khalesi令其如虎添翼

Mylobot僵尸网络“升级”:Khalesi令其如虎添翼

CenturyLink是美国第二大面向全球企业客户的通信服务提供商,拥有60多个国家和地区的客户。近日,CenturyLink的威胁研究实验室通过调查研究分析全球分布式恶意软件,发现了Mylobot僵尸网络新的感染策略。

Mylobot僵尸网络

Mylobot僵尸网络是一个复杂的恶意软件系列,被归类为恶意下载程序。该僵尸网络能够在感染计算机后,下载其它类型的恶意软件,为黑客提供受感染机器的完全控制权,加上能够为设备增加额外恶意负载,因此容易受到特洛伊木马、keyloggers、DDoS攻击和其它安全威胁。

该僵尸网络拥有三个不同层次的攻击技术,其结构复杂、罕见,被称为一款“前所未有”的恶意软件。研究人员以宠物狗的名字,给这个僵尸网络命名为Mylobot,至于其来源和传播方法,目前还不得而知,但是似乎和之前变体形式最多的恶意软件Locky有某些联系。

Mylobot僵尸网络复杂的特性表明其幕后操作者并不是业余黑客,因为其中涉及到多种复杂技术的结合来实现反侦察,包括反沙盒(anti-sandboxing)、反调试(anti-debugging)、加密文件(encrypted files)、以及反射式EXE(reflective EXE),即能够直接从存储盘中移除并粉碎exe文件。这一规避技术并不常见,只有在2016年的时候被发现过,这也使得对这款软件的侦察和追踪的难度加大。除此之外,Mylobot还可以在尝试回应攻击人员的命令和控制(C2)服务器之前处于休眠状态14天,这种延迟机制用于等待沙箱环境以避免检测,是该僵尸网络的另一个反侦察的方式。

Khalesi与Mylobot

根据CenturyLink威胁研究实验室的一份新报告,Mylobot僵尸网络正在展示其窃取信息的能力。

自从2018年6月发现Mylobot僵尸网络以来,CenturyLink威胁研究实验室已经观察到Mylobot下载了一个流行的信息窃取恶意软件家族Khalesi,作为对受感染主机的第二阶段攻击。卡巴斯基实验室报告称,信息窃取恶意软件Khalesi是2018年下载次数最多的恶意软件系列之一。

CenturyLink威胁研究实验室的负责人Mike Benjamin表示,“使Mylobot如此危险的原因在于它能够下载并执行攻击者想要的任何其他类型的有效恶意负载,我们现在有证据证明其中一个有效恶意负载是Khalesi。通过分析全球的僵尸网络攻击趋势和方法,CenturyLink能够更好地预测和响应Mylobot等僵尸网络不断变化的威胁,以保护我们自己的网络和客户的网络。”

CenturyLink威胁研究实验室观察到17,979(峰值)个与Mylobot C2服务器通信的独立IP,其中9,874个独立IP收到了端口C2服务器的响应。

Mylobot僵尸网络“升级”:Khalesi令其如虎添翼

这些受感染的9,874个独立IP位于全球各地,其中数量最多的前10个国家分别是伊拉克、伊朗、阿根廷、俄罗斯、越南、中国、印度、沙特阿拉伯、智利和埃及。

Mylobot僵尸网络“升级”:Khalesi令其如虎添翼

Mylobot僵尸网络“升级”:Khalesi令其如虎添翼

11月10日当天与C2服务器通信的十大国家

Mylobot僵尸网络对设备造成的损害取决于攻击人员决定给目标设备分配的负载量,这导致了下载和植入各种特洛伊木马等其他恶意软件的方式都不一样。这会导致大量数据丢失,并且想要恢复数据的话十分困难,尤其对于企业来说,这无疑是个巨大的灾难。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/130644.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code