MyloBot Botnet napada hiljade Windows sistema

MyloBot Botnet je napredna mreža zaraženih uređaja pod kontrolom zlonamjernih aktera, koji uspješno inficiraju brojne korisničke uređaje.

MyloBot Botnet; Dizajn: Saša Đuric

MyloBot Botnet je primarno orijentisan ka zemljama kao što su Indija, Sjedinjene Američke Države, Indonezija i Iran, pokazuju podaci kompanije BitSight. Botnet je napadao i kompromitovao hiljade uređaja u navedenom geografskom području, pokazujući svoju sposobnost da može funkcionisati u širokom geografskom opsegu i da niko širom globusa nije bezbjedan.

Početak

MyloBot Botnet je napredna mreža zaraženih uređaja sa sposobnošću infekcije više od 50.000 uređaja dnevno, otkrivena prvi put 2017. godine. Najveću ekspanziju doživljava 2020. godine kada je pod kontrolom imala 250.000 jedinstvenih uređaja. Koristi razne tehnike izbjegavanja sigurnosnih mehanizama zaštite, uz mogućnost gašenja Windows antivirusnog softvera Windows Defender i Windows ažuriranja. Kao i svaka mreža zaraženih uređaja, tako i MyloBot Botnet ima mogućnosti DDoS napada, krađe podataka, pa čak instalacije ransomware-a, uz korištenje naprednih tehnika izbjegavanja antivirusnih rješenja. To podrazumijeva korištenje tri sloja tehnika za izbjegavanje otkrivanja i korištenje komunikacije sa komandnim serverom za dostavljanje zlonamjernog softvera koji na kraju dovodi do infekcije uređaja. Do sada evidentirane sljedeće tehnike koje koristi MyloBot Botnet za izbjegavanje otkrivanja:

• Detekcija virtualnih mašina,
• Detekcija sandbox okruženja,
• Onemogućavanje praćenja grešaka,
• Sakrivanje važnih dijelova unutar šifrovanih dokumenata,
• Ubacivanje kôda,
• Zloupotreba legitimnih procesa.

Takođe se koristi mehanizam odlaganja pokretanja u trajanju od 14 dana, što otežava praćenje i otkrivanje infekcije uređaja.

Nove mogućnosti

MyloBot Botnet sada koristi BHProxies, uslugu stambenih proxy servera, što može povećati opasnost ove mreže zaraženih uređaja i učiniti je težom za otkrivanje. Istraživanje je pokazalo, da nakon komunikacije sa komandnim serverom, kompromitovani uređaje se transformiše u novi proxy server, a nakon toga dobija mogućnost da obrađuje nove veze i prenosi saobraćaj koji se šalje preko proxy servera ka komandnom serveru.

BHProxies website; Source: BitSight Security Research

Dalja komunikacija sa kompromitovanim uređajem se koristi za preuzimanje zlonamjernog kôda koji će uspostaviti šifriranu komunikaciju sa komandnim serverom, ko će odgovoriti šifriranom porukom u kojoj se nalazi adresa za preuzimanje zlonamjernog softvera.

Postoji sumnja da bi MyloBot Botnet mogao biti dio nečeg većeg, a na to upućuje korištenje obrnute DNS potrage jedne od IP adresa povezane sa komandnim serverom koja upućuje na domenu pod nazivom “clients[.]bhproxies[.]com“.

Korisnicima se, na prvom mjestu, preporučuje  upotreba provjerenih naprednih antivirusnih rješenja uz redovan ažuriranja antivirusnih definicija. Takođe, potrebno je vršiti redovno pravljenje rezervnih kopija podataka, kako bi se izbjegli gubici podatka u slučaju infekcije uređaja zlonamjernim softverom kao što je ransomware.