Mylobot——一种使用高复杂度逃避技术的新型僵尸网络

导语：根据初步地分析，Mylobot新型僵尸网络是一种使用了高复杂度技术的新型僵尸网络，目前，它在暗网上非常的走红。而且Mylobot早在2015年的11月就已经出现，目前Mylobot的各种迭代版本已经很多了，所以可见，Mylobot在逃避技术的层面上表现出

上周二（6月20号），Deep Instinct的安全研究员Tom Nipravsky发布了一篇安全分析博客，里面提到了一个叫做Mylobot的新型僵尸网络。根据初步地分析，Mylobot是一种使用了高复杂度技术的新型僵尸网络，目前，它在暗网上非常的走红。而且Mylobot早在2015年的11月就已经出现，目前Mylobot的各种迭代版本已经很多了，所以可见，Mylobot在逃避技术的层面上表现出前所未有的复杂程度。

高复杂度的逃避技术

高复杂度的逃避技术包括反虚拟机（anti-VM）、反沙盒（anti-sandboxing）、反调试（anti-debugging）、使用加密的资源文件对内部部件进行封装、代码注入、process hollowing（攻击者会在正常运行暂停状态下创建一个新进程，并用隐藏的恶意进程替换原来的映像）、反射式EXE。攻击者可以利用反射式EXE技术直接从内存执行EXE文件，而不需要将它们放在磁盘上，以避免留下使用痕迹。除此之外，Mylobot中还有一个延迟回应机制，即Mylobot会将其本应立即发送到命令和控制（C＆C）服务器的信息，延迟14天发送。

截止目前，Nipravsky对Mylobot的分析还非常的有限，用他的话来说就是：

代码本身的结构非常复杂，原因在于它是一个多线程的恶意软件，每个线程负责实现恶意软件的不同功能。其中，恶意软件包含三层相互嵌套的文件，每层负责执行下一层文件，最后一层使用的反射式EXE技术。这意味着，Mylobot所执行的任何进程，都发生在内存中，而与此同时，攻击者会使用代码注入在外部进程中执行僵尸网络的主要攻击，这使得它很难被检测和追踪到。

就功能而言，无论是加密软件、勒索软件、银行木马、间谍软件还是其他软件，Mylobot都可用于下载受害者选择的任何有效载荷。Mylobot也可以用于DDoS攻击，在对Mylobot发起的攻击进行分析时，研究人员发现它正在下载DorkBot后门。Dorkbot是一个臭名昭著的僵尸网络，传播途径也非常广泛，包括了USB设备、IM客户端、社交网络、电子邮件，还有隐蔽式下载。Dorkbot的主要攻击目标就是盗取用户凭证，以及各种能够识别个人身份的信息。它同时还能够在你的PC上，通过控制服务器安装更多的恶意程序。这意味着，Mylobot和DorkBot一定存在着某种联系。

更糟糕的是，Mylobot的当前传播方式还没有被分析出来，Nipravsky解释到：

值得一提的是，Mylobot的命令和控制服务器（C＆C）并没有加载属于DorkBot的二进制文件，而是通过发出命令，从其他服务器上下载DorkBot。Mylobot僵尸网络的主要攻击目的是使攻击者能够完全控制被劫持用户的系统，然后用他们的系统作为命令和控制服务器下载额外有效载荷的门户。

有趣的是，Mylobot一旦感染了该设备，就会开始在目标机器上寻找其他恶意软件，并禁用它们。

Nipravsky通过分析发现：

Mylobot除了完成自身的攻击功能外，主要功能之一就是防止其他恶意软件和自己争夺僵尸网络资源。所以，Mylobot中会有一段代码专门用来终止并删除从Application Data文件夹运行的其他任何恶意进程，这是因为大部分恶意软件都存在于该文件夹中。除此之外，Mylobot还会搜索其他特定文件夹中所存在的僵尸网络。

这可能是网络犯罪市场竞争日益激烈的一个表现，由于目前，黑客攻击的门槛越来越低，产业链越来越明细分工，所以这个领域出现这样的情况，也是可以理解的。

根据Nipravsky的发现：

暗网在恶意软件传播中扮演着重要角色，黑客攻击的服务专业化和相关知识的普及性，使得任何攻击者都可以轻松发起攻击。通过使用暗网，如今任何人都可以进入该领域并购买恶意软件。攻击者可以购买攻击工具包，购买成千上万用户的网页流量，甚至可以购买全套勒索软件为自己服务。

有趣的是，Mylobot这个称呼，还是Nipravsky以他同事的一条狗的名字命名的。Deep Deep Instinct是以色列的一家网络安全公司，使用基于GPU的神经网络和CUDA实现99%的检测率，而传统网络安全软件的检测率约为80%。其具有可以自动识别恶意软件并将其杀死在萌芽状态的专利技术，整个过程都不需要病毒库的支持。得一提的是，以Deep Instinct为代表的以色列网络安全企业还有很多。目前，以色列已经成为仅次于美国的，全球第二大网络安全产品和服务出口国。

Mylobot的真正攻击目的

Nipravsky预计这种僵尸网络如此罕见和独特，可能是幕后开发者为了卖出一个好价钱，从目前的证据来看，仅仅是出于经济目的，没有其他目的。不过有一点可以肯定，就是开发Mylobot的人，绝非等闲之辈，各个方面和操作逻辑都非常专业，绝不是一些业余的黑客能比的。至于具体的幕后者，目前还没有迹象显示是谁。

不过，Nipravsky表示，在检查C＆C服务器之后，事实证明，Mylobot已多次出现在其他恶意攻击活动中，而所有这些活动均来自暗网。由此可知，Mylobot背后的开发者可能参与了这一系列的攻击活动。

根据Deep Instinct的研究，Mylobot的C＆C服务器的IP在2015年11月首次出现，并且与DorkBot，Locky和Redyms/Ramdo（点击欺诈恶意软件）相关联。

在资源利用方面，研究人员看到Mylobot僵尸网络试图连接到1404个不同的域名（在撰写此研究时，只有一个域名可用）。不过目前，Mylobot僵尸网络并没有广泛被传播，研究人员猜测，它可能是对攻击的目标有特别指向，不过所有这一切都有待深入研究。