Mylobot là gì và cách thức hoạt động của phần mềm độc hại này?

Năm 2017, các nhà nghiên cứu bảo mật đã phát giác khoảng 23.000 mẫu phần mềm độc hại mỗi ngày, nghĩa là từ 795 ứng dụng độc hại được chào đời mỗi giờ. Nghe có vẻ kinh khủng nhưng thực tế phần lớn các mẫu đây là biến thể của các phần mềm độc hại đã có, nó chỉ sử dụng code khác nhau để tạo một chữ ký “mới”. Tuy nhiên, gần đây đã xuất hiện phần nào mềm độc hại mới, rất tinh vi được gọi là Mylobot.

Mylobot là gì?

Mylobot là một phần mềm độc hại botnet có chứa một lượng lớn intent độc hại. Tom Nipravsky, một nhà nghiên cứu bảo mật cho Deep Instinct là người trước mắt phát hiện ra phần mềm độc hại này.

Phần mềm độc hại này kết hợp một loạt các kỹ thuật lây nhiễm và kỹ thuật phiền hà hóa (obfuscation technique) phức tạp trong một package mạnh mẽ. Dưới này là các kỹ thuật được dùng trong Mylobot:

• Kỹ thuật chống máy ảo (VM) : Phần mềm độc hại này kiểm tra môi trường máy tính để tìm các triệu chứng của việc sử dụng máy ảo. Nếu tìm thấy bất kể dấu hiệu nào cho biết người dùng đang sử dụng máy ảo, nó sẽ không chạy.
• Kỹ thuật chống sandbox : Rất giống với những kỹ thuật chống máy ảo.

Xem thêm: 7 phần mềm Sandbox tốt nhất cho Windows 10

• Kỹ thuật chống gỡ lỗi : Ngăn không cho những nhà nghiên cứu bảo mật làm việc hữu hiệu trên mẫu phần mềm độc hại bằng cách thay đổi hành vi của một chương trình gỡ lỗi nhất định.
• Gói các phần bên trong bằng một file tài nguyên được mã hóa : Bảo vệ code bên trong của phần mềm độc hại bằng mã hóa.
• Kỹ thuật tấn công bằng mã lệnh (Code injection) : Mylobot chạy code tùy chỉnh để tấn công hệ thống, truyền nhiễm code này vào các tiến độ để truy cập và làm gián đoạn hoạt động thường xuyên.
• Xử lý rỗng : Kẻ tiến công tạo nên một tiến độ mới trong trạng thái bị treo, sau đó thay thế bằng một tiến trình bị ẩn.
• Kỹ thuật Reflective EXE : Chạy file EXE từ bộ nhớ thay vì trên ổ đĩa.
• Cơ chế trì hoãn : Phần mềm độc hại trì trệ 14 trước đây khi kết nối với server điều khiển và lệnh.

Mylobot thực hiện rất nhiều kỹ thuật nhằm mục đích ẩn mình.

Các kỹ thuật chống sandbox, chống gỡ lối và chống máy ảo gắng gượng ngăn phần mềm độc hại bị phát giác khi đang quét bằng ứng dụng anti-malware, cũng giống ngăn các nhà nghiên cứu bảo mật tách riêng ứng dụng độc hại trên máy ảo hoặc môi trường sandbox để phân tích, nghiên cứu.

Mylobot sử dụng Reflective EXE để khiến nó cho dù còn khó bị phát hiện hơn vì nó không hoạt động trực diện trên ổ đĩa, do đó, phần mềm diệt virus hoặc anti-malware không thể phân tích được.

Nipravsky đã viết trên một bài đăng: “Cấu trúc code của nó rất phức tạp, đây là một ứng dụng độc hại đa luồng, mỗi luồng có trách nhiệm thi hành các khả năng không trùng lặp của ứng dụng độc hại”. Và cũng đề cập thêm: “Phần mềm độc hại này chứa ba lớp file, được lồng vào nhau, trong đó mỗi lớp nhận trách nhiệm thực thi phần tiếp theo. Lớp cuối cùng sử dụng kỹ thuật Reflective EXE”.

Cùng với các kỹ thuật chống phân tích và chống phát hiện, Mylobot có thể trì trệ 14 ngày sau đó thực hiện liên lạc với server điều khiển và lệnh của nó. Khi Mylobot thực hành kết nối, botnet sẽ tắt Windows Defender và Windows Update, cũng giống đóng một số cổng Windows Firewall.

Mylobot kiếm tìm và giết các dòng ứng dụng độc hại khác

Một trong các tính năng thú vị và hiếm gặp của phần mềm độc hại Mylobot đây là nó có khả năng kiếm tìm và tiêu diệt phần mềm độc hại khác. Không giống như các phần mềm độc hại khác, Mylobot sẵn sàng tiêu diệt các loại phần mềm độc hại này nếu có mặt trên hệ thống. Nó quét thư mục Application Data của hệ thống để tìm các file và thư mục phần mềm độc hại phổ biến. Nếu tìm thấy bất cứ file hoặc tiến độ nào cụ thể Mylobot sẽ “giết” nó.

Vậy chuẩn xác Mylobot thực hiện những gì?

Chức năng chính của Mylobot là kiểm soát hệ thống, từ đấy kẻ tiến công có quyền truy cập vào thông tin đăng nhập trực tuyến, file hệ thống, v.v… Mức độ thiệt hại tùy thuộc vào kẻ tiến công hệ thống. Nó cũng có thể gây thiệt hại lớn đặc biệt khi thâm nhập vào môi trường doanh nghiệp.

Mylobot còn liên kết với những botnet khác như DorkBot, Ramdo và mạng Locky “khét tiếng”. Nếu Mylobot hoạt động như một “ống dẫn” cho các botnet và các loại phần mềm độc hại khác, vậy đây đúng là thảm họa thật sự.

Cách chống lại Mylobot

Tin xấu là Mylobot đã và đang truyền nhiễm vào các hệ thống trong hơn hai năm qua. Server điều khiển và lệnh của nó lần thứ nhất được tìm thấy vào tháng 11/2015. Mylobot đã tránh né được tất cả những nhà nghiên cứu và dịch vụ bảo mật khác trong một khoảng thời gian dài trước khi bị công cụ nghiên cứu mạng “học sâu” (deep learning) của Deep Instinct phát hiện ra.

Các công cụ diệt virus và anti-malware thường thì không thể chống lại được Mylobot tối thiểu trong thời gian này. Hiện giờ đã có một mẫu Mylobot, nên nhiều nhà nghiên cứu và trung tâm bảo mật có thể sử dụng nó để tìm các biện pháp chống lại phần mềm độc hại này.

Trong thời gian chờ đợi, bạn nên kiểm tra danh sách các công cụ diệt virus và bảo mật máy tính. Mặc dù các công cụ này chẳng thể tiêu diệt Mylobot những có thể ngăn chặn những phần mềm độc hại khác. Ngoài ra bạn có thể tham khảo bài viết Gỡ bỏ tận gốc phần mềm độc hại (malware) trên máy tính Windows 10.

Xem thêm:

• 9 việc phải làm khi phát giác máy tính nhiễm malware
• Bạn đã rất nhiều nhiêu loại malware và đã biết phương pháp phòng trừ chúng chưa?
• 10 loại malware điển hình

mylobot,phần mềm độc hại mylobot,mylobot là gì,cách thức hoạt động của mylobot,kỹ thuật sử dụng trong mylobot,loại bỏ mylobot,bonet

Nội dung Mylobot là gì và cách thức hoạt động của phần mềm độc hại này? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.