Jump to content
Anastasis

Mylobot : το malware που δεν θα θέλατε να περάσει στον υπολογιστή σας

Recommended Posts

Anastasis

Mylobot: Το 2017, οι ερευνητές ασφαλείας ανακάλυπταν περίπου 23.000 νέα δείγματα κακόβουλου λογισμικού κάθε μέρα, δηλαδή 795 την ώρα.

Αν ο αριθμός σας φαίνεται μεγάλος, να αναφέρουμε ότι η πλειοψηφία αυτών των δειγμάτων ήταν παραλλαγές λίγων διαφορετικών malware. Είχαν ελαφρώς διαφορετικό κώδικα, έτσι για να δημιουργηθεί μια “νέα” υπογραφή.Mylobot

Από καιρό σε καιρό, όμως εμφανίζονται και εντελώς νέα malware στη σκηνή. Το Mylobot είναι ένα τέτοιο παράδειγμα: είναι νέο, εξαιρετικά εξελιγμένο και πολύ δυναμικό.

malware.thumb.jpg.a25f6b39029a0e2bc6f20aa818cd5fb1.jpg

Τι είναι το Mylobot;

Το Mylobot είναι ένα κακόβουλο λογισμικό τύπου botnet. Το νέο malware εντοπίστηκε για πρώτη φορά από τον Tom Nipravsky, ερευνητή ασφάλειας της Deep Instinct. Ο ερευνητής ανέφερε ότι “ο συνδυασμός και η πολυπλοκότητα των τεχνικών που περιέχει δεν ήταν γνωστά ποτέ πριν”.

 

Πραγματικά το νέο κακόβουλο πρόγραμμα διαθέτει πολύ εξελιγμένες τεχνικές μόλυνσης και εμπλοκής σε ένα πακέτο. Ρίξε μια ματιά:

Τεχνικές Anti-virtual machine (VM): Το κακόβουλο λογισμικό ελέγχει το τοπικό του περιβάλλον για να ανακαλύψει virtual machines αν αποτύχει να τρέξει.
Τεχνικές κατά του sandbox: Πολύ παρόμοιες με τις τεχνικές anti-VM.
Τεχνικές κατά της αποσφαλμάτωσης (Anti-debugging): Για τους ερευνητές ασφάλειας που προσπαθούν να δουν τι περιέχει ο κώδικας του νέου malware.
Χρήση κρυπτογράφησης στα σημαντικά κομμάτια του κώδικα: για περαιτέρω προστασία του κώδικα του κακόβουλου λογισμικού.
Τεχνικές έγχυσης κώδικα (Code injection): Το Mylobot τρέχει προσαρμοσμένο κώδικα που επιτίθεται σε συστήματα, προσθέτοντας τον κώδικά του σε διεργασίες του συστήματος.
Τεχνικές απόκρυψης: Ο εισβολέας δημιουργεί μια νέα διεργασία σε κατάσταση αναστολής, και στη συνέχεια την αντικαθιστά με εκείνη που θέλει να κρύψει.
Ανακλαστικό EXE: Τα αρχεία EXE τρέχουν από τη μνήμη και όχι από το δίσκο.
Μηχανισμός καθυστέρησης: Το κακόβουλο λογισμικό παραμένει αδρανές για 14 ημέρες πριν αρχίσει να συνδέεται με τους διακομιστές εντολών και ελέγχου.

Οι τεχνικές sandboxing, anti-debugging και anti-VM που επιχειρούν να σταματήσουν κάθε κακόβουλο λογισμικό δεν φαίνεται να μπορούν να σταματήσουν το Mylobot. Τα ανακλαστικά exe που τρέχουν από την μνήμη του λειτουργικού κάνουν το Mylobot σχεδόν αόρατο, καθώς δεν υπάρχει άμεση δραστηριότητα στο δίσκο, που να μπορεί να ανιχνεύσει το όποιο antivirus ή antimalware.

Σύμφωνα με τον Nipravsky από την Threatpost:

Η δομή του ίδιου του κώδικα είναι πολύ πολύπλοκη (πρόκειται για ένα κακόβουλο λογισμικό πολλαπλών νημάτων όπου κάθε νήμα είναι υπεύθυνο για την εφαρμογή διαφορετικών δυνατοτήτων).

Και:

Το κακόβουλο λογισμικό περιέχει τρία επίπεδα αρχείων, ένθετα μεταξύ τους, όπου κάθε στρώμα είναι υπεύθυνο για την εκτέλεση του επόμενου. Το τελευταίο επίπεδο χρησιμοποιεί την τεχνική ανακλαστικών exe (Reflective EXE).

Μένοντας μακριά από τεχνικές ανάλυσης και ανίχνευσης, το Mylobot μπορεί να περιμένει μέχρι και 14 ημέρες πριν προσπαθήσει να επικοινωνήσει με τους διακομιστές εντολών και ελέγχου. Όταν συνδεθεί το Mylobot, το botnet απενεργοποιεί τα Windows Defender, Windows Update, και αρκέτες θύρες του τείχους προστασίας των Windows.

Μια από τις πιο ενδιαφέρουσες και σπάνιες λειτουργίες του κακόβουλου λογισμικού Mylobot είναι η λειτουργία αναζήτησης και καταστροφής.

 

Σε αντίθεση με άλλα κακόβουλα προγράμματα, όταν εγκατασταθεί το Mylobot εξαλείφει κάθε άλλο κακόβουλο λογισμικό (αν υπάρχει και άλλο στο σύστημα-στόχο). Το Mylobot σαρώνει το σύστημα για κακόβουλο λογισμικό και όταν εντοπίσει κάποια διεργασία την τερματίζει.

Ο Nipravsky πιστεύει ότι η συγκεκριμένη λειτουργία προστέθηκε για να σταματήσει λειτουργίες ransomware-as-a-service και άλλων παραλλαγών κακόβουλων προγραμμάτων pay-to-play που μπορεί να νοικιάσει ο καθένας στο διαδίκτυο.

Οι επιτιθέμενοι ανταγωνίζονται μεταξύ τους για να έχουν όσο το δυνατόν περισσότερους υπολογιστές ζόμπι για να αυξήσουν την αξία του bot που διαθέτουν προς ενοικίαση σε άλλους επιτιθέμενους.

Τι κάνει το Mylobot, ακριβώς;

Η κύρια λειτουργία του Mylobot είναι να παραδώσει τον έλεγχο του συστήματος στον εισβολέα. Από εκεί, ο επιτιθέμενος μπορεί να έχει πρόσβαση σε διαπιστευτήρια στο διαδίκτυο, αρχεία συστήματος και πολλά άλλα.

Το Mylobot διαθέτει πάρα πολλές διασυνδέσεις με άλλα botnets, όπως το DorkBot, το Ramdo και το περίφημο δίκτυο Locky. Αν το Mylobot ενεργεί ως αγωγός για όλα τα άλλα είδη botnet το θύμα του συγκεκριμένου malware δεν θα περάσει καλά.

Πώς μπορείτε να μείνετε ασφαλείς από το Mylobot;

Κακά τα νέα προς το παρόν: Το Μylobot πιστεύεται ότι μολύνει συστήματα για πάνω από δύο χρόνια. Οι διακομιστές εντολών-ελέγχου που χρησιμοποιεί, λειτούργησαν για πρώτη φορά τον Νοέμβριο του 2015.

Έτσι, το Μylobot φαίνεται να απέφυγε πάρα πολλούς ερευνητές και επιχειρήσεις ασφαλείας για αρκετό καιρό, πριν ανακαλυφθεί από την Deep Instinct.

Δυστυχώς, τα σημερινά εργαλεία αντιμετώπισης ιών δεν μπορούν να ανιχνεύσουν το Μylobot – τουλάχιστον προς το παρόν.

Τώρα όμως που υπάρχει ένα δείγμα από Μylobot, οι επιχειρήσεις ασφάλειας θα μπορούν να έχουν την ψηφιακή του υπογραφή για να την χρησιμοποιήσουν μελλοντικά στην ανίχνευση.

 

Read more...

Share this post


Link to post
Share on other sites

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε προκειμένου να το δείτε

Πρέπει να είστε μέλος για να μπορέσετε να αφήσετε κάποιο σχόλιο

Δημιουργία λογαριασμού

Κάντε μια δωρεάν εγγραφή στην κοινότητά μας. Η εγγραφές μας είναι εύκολες.!

Εγγραφή τώρα

Σύνδεση

Εάν έχετε ήδη λογαριασμό σε αυτό το Forum; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Μηνύματα

    • Anastasis
      Security Code Scan – static code analyzer for .NET Facts  Detects various security vulnerability patterns: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE), etc.  Taint analysis to track user input data.  One click refactoring for some vulnerabilities.  Analyzes .NET and .NET Core projects in a background (intellisense) or during a build.  Continuous Integration (CI) through MSBuild.  Works with Visual Studio 2015 or higher. Visual Studio Community, Professional, and Enterprise editions are supported. Installation Security Code Scan (SCS) can be installed as: Visual Studio extension. Use the link or open “Tools > Extensions and Updates…” Select “Online” in the tree on the left and search for SecurityCodeScan in the right upper field. Click “Download” and install. NuGet package. Right-click on the root item in your solution. Select “Manage NuGet Packages for Solution…”. Select “Browse” on the top and search for Security Code Scan. Select project you want to install into and click “Install”. Another option is to install the package into all projects in a solution: use “Tools > NuGet Package Manager > Package Manager Console”. Run the command Get-Project -All | Install-Package SecurityCodeScan. Installing it as NuGet package gives the advantage to choose projects in a solution that should be analyzed. It is a good idea to exclude test projects because they do not make it into a final product. However, it requires discipline to install SCS into every solution a developer works with. Installing it as a Visual Studio extension is a single install action. Download Use   Source: https://github.com/security-code-scan/
    • Anastasis
      Network Scanner Simple python script which uses pcap, arp-scan, and avahi to: Find hosts that are on the LAN passively Uses an arp-ping to actively identify hosts Scan each host to determine open ports and services Store record of hosts in JSON file, html webpage, or prints to screen Note: Since IP addresses change, the hosts are fingerprinted via their MAC address. Install Run To run: Copyright (c) 2015 Kevin J. Walchko Source: https://github.com/AllGloryToTheHypnotoad/
    • Anastasis
      HexRaysPyTools Plugin assists in creation classes/structures and detection virtual tables. Also helps to transform decompiler output faster and allows to make some stuff otherwise impossible. Was introduced at ZeroNights 2016 (slides). Features 1) Structure Creation Best to use with Class Informer plugin, because it helps to automatically get original names of the classes.   Structure Builder (Alt + F8) The place where all collected information about scanned variables can be viewed and modified. Two ways to collect information: Right Click on variable -> Scan Variable. Recognizes fields usage within current function Right Click on variable -> Deep Scan Variable. First recursively touches functions to make Ida recognize proper arguments (it happens only once for each function during session). Than recursively applies scanner to variables and functions that get our structure pointer as argument. Types with BOLD font are virtual tables. Double click opens list with all virtual functions that helps to visit them. Visited functions are marked with cross and color: Types with ITALIC font have been found as void * arguments and are not used in shape recognition. Double click on Field’s names to edit Double click on offset opens window with every places where this type has been extracted. Click “Ok” button to open selected place in pseudocode window: Finalize – opens window with editable C-like declaration and assigns new type to all scanned variables. Disable, Enable – are used for collision resolution. Origin – switches base from which offset to produce new fields to structure (this value will be added to every offset of new scanned variable). Array – makes selected field as array, the size of which is calculated automatically. Pack – creates and substitutes substructure for selected items (collisions for this items should be resolved). Unpack – dismembers selected structure and adds all it’s fields to builder Remove – removes information about selected fields. Clear – clears everything. Recognize Shape – looks for appropriate structure for selected fields. 2) Disassembler code manipulations Structures with given size Usage: In Pseudocode viewer, right click on number -> “Structures with this size”. (hotkey W) Select library in which find structures Select structure. Number will become sizeof(Structure Name) and type will be imported to Local Types Recognition of structures by shapes Helps to find suitable structure by information gleaned from pseudocode after variable scanning. Usage: Method 1 Right click on variable with LEGAL_TYPE (See structure builder) -> Select “Recognize Shape”. Select structure. Type of variable will be changed automatically. Method 2 Clear Structure Builder if it’s currently used. Right click on variables supposed to be the same -> “Scan Variable”. Edit types (will be implemented later), disable or remove uninteresting fields and click button “Recognize Shape”. You can selected several fields and try to recognize shape for them. If found and selected, they will be replaced by new structure. After final structure selection, types of all scanned variables will be changed automatically. Install Just copy HexRaysPyTools.py file and HexRaysPyTools directory to Ida plugins directory Use Source: https://github.com/igogo-x86/
    • Anastasis
      Androguard Reverse engineering, Malware and goodware analysis of Android applications … and more (ninja !) Features Androguard is a full python tool to play with Android files. DEX, ODEX APK Android’s binary xml Android resources Disassemble DEX/ODEX bytecodes Decompiler for DEX/ODEX files Changelog v3.2.1 Small bugfixes Installation Tool androarsc Usage: androarsc.py [options] Options: -h, --help show this help message and exit -i INPUT, --input=INPUT filename input (APK or android resources(arsc)) -p PACKAGE, --package=PACKAGE select the package (optional) -l LOCALE, --locale=LOCALE select the locale (optional) -t TYPE, --type=TYPE select the type (string, interger, public, ...) -o OUTPUT, --output=OUTPUT filename output -v, --version version of the API     androauto Usage: androauto.py [options] Options: -h, --help show this help message and exit -d DIRECTORY, --directory=DIRECTORY directory input -v, --verbose add debug   androaxml Usage: androaxml.py [options] Options: -h, --help show this help message and exit -i INPUT, --input=INPUT filename input (APK or android's binary xml) -o OUTPUT, --output=OUTPUT filename output of the xml -v, --version version of the API   androdd Usage: androdd.py [options] Options: -h, --help show this help message and exit -i INPUT, --input=INPUT file : use this filename -o OUTPUT, --output=OUTPUT base directory to output all files -d DECOMPILER, --decompiler=DECOMPILER choose a decompiler -j, --jar output jar file -f FORMAT, --format=FORMAT write the method in specific format (png, ...) -l LIMIT, --limit=LIMIT limit analysis to specific methods/classes by using a regexp   androdis Usage: androdis.py [options] Options: -h, --help show this help message and exit -i INPUT, --input=INPUT file : use this filename (DEX/ODEX) -o OFFSET, --offset=OFFSET offset to disassemble -s SIZE, --size=SIZE size   androgui usage: androgui.py [-h] [-d] [-i INPUT_FILE] [-p INPUT_PLUGIN] Androguard GUI optional arguments: -h, --help show this help message and exit -d, --debug -i INPUT_FILE, --input_file INPUT_FILE -p INPUT_PLUGIN, --input_plugin INPUT_PLUGIN   androlyze androlyze is a tool that spawns an IPython shell.   Copyright (C) 2012 – 2016, Anthony Desnos (desnos at t0t0.fr) All rights reserved. Source: https://github.com/androguard/
    • Anastasis
      Seeker utilizes HTML5, Javascript, JQuery and PHP to grab Device Information and GeoLocation with High Accuracy. Other tools and services offer IP Geolocation which is not very accurate and does not give location of user. Generally if a user accepts location permsission, Accuracy of the information recieved is accurate to approximately 30 meters. Note : On iPhone due to some reason location accuracy is approximately 65 meters.
      It Hosts a fake website on Apache Server and uses Ngrok to generate a SSL link which asks for Location Permission and if the user allows it, we can get : Longitude Latitude Accuracy Altitude - Not always available Direction - Only available if user is moving Speed - Only available if user is moving Along with Location Information we can also get Device Information without any permissions : Operating System Platform Number of CPU Cores Amount of RAM - Approximate Results Screen Resolution GPU information Browser Name and Version Public IP Address
      Tested On : Kali Linux 2018.2 Ubuntu 18.04
      Requirements
      Supports both Python2 and Python3.
      Seeker uses common standard python modules : os time json requests subprocess
      Installation git clone https://github.com/thewhiteh4t/seeker.git cd seeker/ chmod 777 install.sh ./install.sh #After Installation just type seeker in console
      Screenshots

         
        Download Seeker
×