Mylobot là gì và cách thức hoạt động của phần mềm độc hại này?

Năm 2017, các nhà nghiên cứu bảo mật đã phát hiện khoảng 23.000 mẫu phần mềm độc hại mỗi ngày, tức là khoảng 795 phần mềm độc hại được sinh ra mỗi giờ. Nghe có vẻ kinh khủng nhưng thực tế phần lớn các mẫu này là biến thể của các phần mềm độc hại đã có, nó chỉ sử dụng code khác nhau để tạo một chữ ký “mới”. Tuy nhiên, gần đây đã xuất hiện một phần mềm độc hại mới, rất tinh vi được gọi là Mylobot.

Mylobot là gì?

Mylobot là một phần mềm độc hại botnet có chứa một lượng lớn intent độc hại. Tom Nipravsky, một nhà nghiên cứu bảo mật cho Deep Instinct là người đầu tiên phát hiện ra phần mềm độc hại này.

Phần mềm độc hại Mylobot

Phần mềm độc hại này kết hợp một loạt các kỹ thuật lây nhiễm và kỹ thuật rắc rối hóa (obfuscation technique) phức tạp trong một package mạnh mẽ. Dưới đây là các kỹ thuật được sử dụng trong Mylobot:

  • Kỹ thuật chống máy ảo (VM): Phần mềm độc hại này kiểm tra môi trường máy tính để tìm các dấu hiệu của việc sử dụng máy ảo. Nếu tìm thấy bất cứ dấu hiệu nào cho thấy người dùng đang sử dụng máy ảo, nó sẽ không chạy.
  • Kỹ thuật chống sandbox: Rất giống với các kỹ thuật chống máy ảo.

Xem thêm: 7 ứng dụng Sandbox tốt nhất cho Windows 10

  • Kỹ thuật chống gỡ lỗi: Ngăn không cho các nhà nghiên cứu bảo mật làm việc hiệu quả trên mẫu phần mềm độc hại bằng cách thay đổi hành vi của một chương trình gỡ lỗi nhất định.
  • Gói các phần bên trong bằng một file tài nguyên được mã hóa: Bảo vệ code bên trong của phần mềm độc hại bằng mã hóa.
  • Kỹ thuật tấn công bằng mã lệnh (Code injection): Mylobot chạy code tùy chỉnh để tấn công hệ thống, lây nhiễm code này vào các tiến trình để truy cập và làm gián đoạn hoạt động thường xuyên.
  • Xử lý rỗng: Kẻ tấn công tạo ra một tiến trình mới trong trạng thái bị treo, sau đó thay thế bằng một tiến trình bị ẩn.
  • Kỹ thuật Reflective EXE: Chạy file EXE từ bộ nhớ thay vì trên ổ đĩa.
  • Cơ chế trì hoãn: Phần mềm độc hại trì hoãn 14 ngày trước khi kết nối với server điều khiển và lệnh.

Mylobot thực hiện rất nhiều kỹ thuật nhằm mục đích ẩn mình.

Các kỹ thuật chống sandbox, chống gỡ lối và chống máy ảo cố gắng ngăn phần mềm độc hại bị phát hiện trong khi quét bằng phần mềm anti-malware, cũng như ngăn các nhà nghiên cứu bảo mật tách riêng phần mềm độc hại trên máy ảo hoặc môi trường sandbox để phân tích, nghiên cứu.

Mylobot sử dụng Reflective EXE để khiến nó thậm chí còn khó bị phát hiện hơn vì nó không hoạt động trực tiếp trên ổ đĩa, do đó, phần mềm diệt virus hoặc anti-malware không thể phân tích được.

Nipravsky đã viết trên một bài đăng: “Cấu trúc code của nó rất phức tạp, đây là một phần mềm độc hại đa luồng, mỗi luồng chịu trách nhiệm thực hiện các khả năng khác nhau của phần mềm độc hại”. Và cũng đề cập thêm: “Phần mềm độc hại này chứa ba lớp file, được lồng vào nhau, trong đó mỗi lớp chịu trách nhiệm thực thi phần tiếp theo. Lớp cuối cùng sử dụng kỹ thuật Reflective EXE".

Cùng với các kỹ thuật chống phân tích và chống phát hiện, Mylobot có thể trì hoãn 14 ngày sau đó thực hiện liên lạc với server điều khiển và lệnh của nó. Khi Mylobot thực hiện kết nối, botnet sẽ tắt Windows DefenderWindows Update, cũng như đóng một số cổng Windows Firewall.

Mylobot tìm kiếm và giết các loại phần mềm độc hại khác

Một trong những tính năng thú vị và hiếm gặp của phần mềm độc hại Mylobot này là nó có khả năng tìm kiếm và tiêu diệt phần mềm độc hại khác. Không giống như các phần mềm độc hại khác, Mylobot sẵn sàng tiêu diệt các loại phần mềm độc hại này nếu có mặt trên hệ thống. Nó quét thư mục Application Data của hệ thống để tìm các file và thư mục phần mềm độc hại phổ biến. Nếu tìm thấy bất cứ file hoặc tiến trình nào cụ thể Mylobot sẽ “giết” nó.

Vậy chính xác Mylobot thực hiện những gì?

Chức năng chính của Mylobot là kiểm soát hệ thống, từ đó kẻ tấn công có quyền truy cập vào thông tin đăng nhập trực tuyến, file hệ thống, v.v… Mức độ thiệt hại tùy thuộc vào kẻ tấn công hệ thống. Nó có thể gây thiệt hại lớn đặc biệt khi thâm nhập vào môi trường doanh nghiệp.

Mylobot còn liên kết với các botnet khác như DorkBot, Ramdo và mạng Locky “khét tiếng”. Nếu Mylobot hoạt động như một “ống dẫn” cho các botnet và các loại phần mềm độc hại khác, thì đây đúng là thảm họa thật sự.

Cách chống lại Mylobot

Tin xấu là Mylobot đã và đang lây nhiễm vào các hệ thống trong hơn hai năm qua. Server điều khiển và lệnh của nó lần đầu được tìm thấy vào tháng 11/2015. Mylobot đã tránh né được tất cả các nhà nghiên cứu và công ty bảo mật khác trong một thời gian dài trước khi bị công cụ nghiên cứu mạng “học sâu” (deep learning) của Deep Instinct phát hiện ra.

Các công cụ diệt virus và anti-malware thông thường không thể chống lại được Mylobot ít nhất trong thời gian này. Hiện giờ đã có một mẫu Mylobot, nên nhiều nhà nghiên cứu và công ty bảo mật có thể sử dụng nó để tìm các biện pháp chống lại phần mềm độc hại này.

Trong thời gian chờ đợi, bạn nên kiểm tra danh sách các công cụ diệt virus và bảo mật máy tính. Mặc dù các công cụ này không thể tiêu diệt Mylobot những có thể ngăn chặn những phần mềm độc hại khác. Ngoài ra bạn có thể tham khảo bài viết Gỡ bỏ tận gốc phần mềm độc hại (malware) trên máy tính Windows 10.

Xem thêm:

Thứ Ba, 31/07/2018 16:39
52 👨 954
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản