內容簡述

MyloBot 問世於 2017 年，是一個擁有反分析技術與下載功能的殭屍網路，至今已經破壞了數千個系統，其主要破壞範圍位於印度、美國、印度尼西亞和伊朗。根據 BitSight 的研究指出，一天平均有 5 萬臺電腦遭到感染，最高紀錄曾在 2020 年感染 25 萬臺電腦，且至今因部分受害電腦難以追查，實際遭到該殭屍網路入侵的電腦可能會更多。

在 2022 年，以色列資安業者 Minerva Labs 發現駭客利用 MyloBot 從被駭的主機寄出勒索電子郵件，向受害者要求支付當時價值 2,732 美元的的比特幣。

 

攻擊手法

BitSight 針對 MyloBot 殭屍網路基礎設施的分析發現，它與名為 BHProxies 的住宅代理（residential proxy）伺服器連接，並利用其系統對主機進行不法活動。資安業者 Lumen 旗下的資安團隊 Black Lotus Labs 在 2018 年 11 月發布的報告曾提到，MyloBot 的危險之處在於能提供攻擊者隨時在受害者主機執行下載任一類型惡意軟體的功能。

MyloBot 主要具有下列能力與躲避偵測技巧：

• 執行程序掏空 (Process Hollowing)
• Reflective EXE (從記憶體內直接執行 EXE 檔)
• 虛擬機器反制能力
• 沙盒模擬分析反制能力
• 除錯器反制能力
• 程式碼注入
• 下載勒索病毒 Ransomware (勒索軟體/綁架病毒)以及竊取資料

當它感染某台電腦時，還會刪除系統上的其他惡意程式，並且造成系統嚴重損壞，此行為應該是為了排除其他駭客的惡意程式，以盡可能獨占被感染的裝置以提高獲利。

另外，MyloBot 在聯繫 command-and-control server(C2) 服務器以迴避檢測之前，它還會閒置 14 天，接著才與惡意中繼站連接，等待下一步指令。

(細節請參考：MyloBot Uses Sophisticated Evasion and Attack Techniques, Deletes Other Malware https://reurl.cc/Gem7Od)

 

MyloBot的威脅

自 2018 年 11 月開始，MyloBot 隨著時間的發展也不斷演變，並擁有更大破壞力，已有明確的跡象表明 MyloBot 已經在一些特定國家傳播，例如伊拉克、伊朗、阿根廷、俄羅斯、越南、中國、印度、沙特阿拉伯、智利和埃及...等，它可以透過提取感染的設備資訊來讓其他病毒進行攻擊，像是勒索軟體和間諜軟體。面對這樣的殭屍網路，建議可以採用一套多層式防護方法來確保系統安全，從閘道至端點全面防範、偵測、消除威脅，定期備份您檔案來降低資料損失風險和實施資料分類與網路分割。

 

 

參考資料：

1. MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily （21 Feb 2023）-https://thehackernews.com/2023/02/mylobot-botnet-spreading-rapidly.html
2. MyloBot Botnet Attacks Thousands of Windows Systems and Turns Them as Proxy （23 Feb 2023）-https://gbhackers.com/mylobot/amp/
3. Mylobot: Investigating a proxy botnet（13 Feb 2023）- https://www.bitsight.com/blog/mylobot-investigating-proxy-botnet