لوگوی ارتباط افزار افق
بستن

بات‌نت MyloBot، ارتشی نامرئی از بدافزارها !

بات نت MyloBot، رایانه شما را به تبدیل به سرباز تحت امر خود می کند

فهرست مطالب

بدافزار MYLOBOT چیست؟

به گزارش آژانس امنیت سایبری BitSight، نسخه جدیدی از بات‌نت MyloBot شناسایی شده‌است؛ بدافزاری که سیستم‌های ویندوزی را مورد هدف قرار می‌دهد.این بات­‌نت پیشرفته‌ توانسته به تعداد بسیاری زیادی سیستم رایانه‌ای نفوذ کرده و آنها را تبدیل به پروکسی سرور کند. این بدافزار در چهار کشور : هند، ایالات متحده آمریکا، اندونزی و ایران نفوذ کرده است.

MyloBot توانسته به هزاران سیستم رایانه‌ای نفوذ کند که نشان دهنده توانایی و کارایی بسیار بالای در یک مقیاس جغرافیایی بزرگ می‌­باشد. با توجه به گزارش منتشر شده این بات­‌نت از سال 2017 در حال فعالیت می­‌باشد و تعداد میزبان­‌های آلوده شده به 250 هزار سیستم منحصر به فرد می‌­رسیده است. هم اکنون با شناسایی این بدافزار تعداد میزبان‌ها به میزان قابل توجهی کاهش یافته است و به رقم 50هزار سیستم رسیده است.

با جستجوهای عمیق­تر در زیرساخت MyloBot وابستگی به سرویس پروکسی محلی BHProxies یافته شده است. به نظر می­رسد این بات­‌نت در سیستم‌­های لیست شده در سرویس پروکسی BHProxies  نفوذ کرده و همانند یک انگل از قدرت پردازشی و منابع آنها برای اهداف غیر قانونی خود بهره می‌برد.

بررسی عملکرد بات‌نت MyloBot

این بات­‌نت به غیرقابل شناسایی بودن مشهور است؛ توسعه دهندگان این بدافزار آن را به گونه‌­ای طراحی کرده­‌اند که آنالیز و درک آن را بسیار مشکل می­کند. MyloBot می تواند به عنوان یک دانلود کننده بدافزار عمل کند و سیستم قربانی را با ابزارهای مخرب دیگر و انواع payloadها آلوده کند. که در نتیجه به حمله کنندگان اجازه بارگذاری و اجرای جدیدترین نوع بدافزارها را بروی سیستم قربانی می­دهد.

مهمترین حمله سایبری توسط این بدافزار به سال گذشته میلای باز می‌گردد، هنگامی که MyloBot درگیر یک کمپین مالی بود و از طریق نقاط پایانی هک شده؛ اقدام به ارسال ایمیل­‌های اخاذی برای گیرندگان ناآگاه می‌کرد. در این ایمیل­‌ها قربانیان تهدید به افشای اطلاعات خصوصی در سطح اینترنت می‌­شدند مگر اینکه اقدام به پرداخت باج به ارزش 2,700 دلار نمایند.

اولین نمونه این بدافزار در سال 2017 شناسایی شد، که در آن زمان دارای سه مرحله اجرایی بود، در آخرین مرحله کدهای مربوط به پروکسی بارگذاری می‌شد و سیستم‌های آلوده شده را تبدیل به پروکسی سرور می‌کرد. با گذشت زمان، MyloBot پیچیده‌تر شده‌است و دارای سطوح مختلفی برای دانلود بدافزار و پیلودهای رمزگذاری شده، رمزگشایی آنها و تزریق به درون پردازه‌های دیگر دارد.

در قدم اول: بدافزار به مدت دو هفته پس از استقرار در سیستم قربانی غیرفعال باقی می­ماند این تکنیک باعث جلوگیری از شناسایی سریع آن می­‌شود. بعد از این دوره نهفتگی، اقدام به دریافت داده‌های رمزگذاری شده می‌کند که با استفاده از الگوریتم بسیار سریع و ساده اقدام به رمزگشایی آن می‌کند، کدهای دریافت شده وظیفه اجرای مرحله بعدی را به عهده دارد که در واقع بارگذاری خود بدافزار MyloBot برروی سرور قربانی است. پس از بارگذاری MyloBot و استقرار در سیستم اقدام به برقراری ارتباط با سرور C2 خود میکند و تا وقتی که دستور جدیدی دریافت نکرده بدون هیچ واکنشی در سیستم باقی می­ماند.

بات نت mylobot چند سطحی و پیچیده می باشد.

 این بدافزار می‌تواند به عنوان یک ابزار بسیار قوی برای گروه مجرمان سایبری هدایت کننده بات­‌نت عمل کند و ضمن ایفای نقش گره میانی برای ترافیک هدایت شده از سمت سرور C2 ، با دانلود payload های مختلف که به صورت رمزگذاری شده، رایانه قربانی را تبدیل به یک گره برای انتشار بیشتر بدافزارهای مختلف کند.با بررسی­‌های بیشتر انجام شده در عملکرد آن، تعداد سرورهای کنترلی این بدافزار در نسخه جدید به سه آدرس زیر ختم می­‌شود:

  • fywkuzp[.]ru:7432
  • dealpatu[.]ru:8737
  • rooftop7[.]ru:8848

جمع بندی

به نظر می­‌رسد، احتمال دخیل بودن بدافزار MyloBot در یک عملیات بسیار بزرگ تر وجود دارد. گروه‌های هکری برای افزایش درآمد خود دست به راه اندازی سرویس‌های مخرب می‌زنند و در ازای دریافت هزینه آن را در اختیار گروه‌های هکری دیگر قرار می‌دهند. به این زیرساخت اصطلاحاً MaaS(Malware as a Service) گفته می­‌شود که در سال­‌های اخیر تعداد آنها افزایش یافته است. محققان امنیت سایبری چنین عملکردی را بسیار محتمل می‌دانند. گروه‌های هکری از چنین سرویس‌هایی برای اجرای حملات گسترده DDOS، میزبانی بدافزارهای مختلف و استفاده از پروکسی سرور برای ناشناس ماندن در سطح اینترنت استفاده می‌کنند.