反虚拟机、沙箱和调试技术,“Mylobot”僵尸网络每天感染 50000 台设备

 2 月 23 日消息,根据网络安全评级公司 BitSight 公布的数据,名为“Mylobot”的僵尸网络正在全球肆虐,每天记录感染的设备数量超过 50000 台。

6a209bca-22d3-445e-b3af-dfc174cbb500

图源:趋势科技

网络安全公司 Deep Instinct 在 2018 年首次记录了“Mylobot”僵尸网络,该公司发现该僵尸网络具有反分析技术和下载程序能力。

70d8ddf9-f850-4ebd-91a3-a4eb5f5e9e70

科技公司 Lumen 的 Black Lotus Labs 在几个月后也报告发现了该僵尸网络,在其博文中写道:“Mylobot 的危险之处在于它能够在感染主机后下载和执行任何类型的有效负载。这意味着它可以随时根据攻击者的意愿,下载任何其他类型的恶意软件”。

886ee8f1-6273-4936-9211-46e6491be0b6

附 Mylobot 僵尸网络的相关特点:

  • 反虚拟机、沙箱和调试技术

  • 使用加密的资源文件封装内部代码

  • Process hollowing:一种安全漏洞,其中攻击者删除可执行文件中的代码并用恶意代码替换它

  • Reflective EXE:直接从内存中执行 EXE 文件的行为,而不是将其保存在磁盘上

Mylobot 僵尸网络主要使用的代理 C2 IP 地址:

  • 89.39.105.47

  • 89.38.96.140

  • 89.38.96.14

  • 217.23.12.80

  • 178.132.3.12

  • 168.119.15.229

  • 89.38.98.48

  • 49.12.128.181

  • 37.48.112.111

  • 109.236.82.28

  • 49.12.128.180

  • 144.76.8.93

  • 194.88.106.18

  • 95.211.203.197

  • 89.39.104.201

  • 95.168.169.43

  • 95.211.198.102

  • 91.229.23.112

  • 217.23.13.104

  • 95.211.140.149

  • 62.112.11.245

  • 178.132.2.82

  • 116.202.114.236

  • 217.23.12.50

  • 89.39.104.58

  • 89.38.98.47

  • 194.88.105.108

  • 109.236.83.166

  • 109.236.91.239

  • 89.39.107.92

  • 190.2.134.165

  • 217.23.8.12

  • 89.39.104.62

  • 89.39.107.82

  • via IT之家

订阅评论
提醒
guest的头像

1 评论
内联反馈
查看所有评论
小芳侠的头像
成员
2023-02-23 上午10:05

有点厉害

1
0
希望看到您的想法,请您发表评论x