根據(jù)網(wǎng)絡(luò)安全評(píng)級(jí)公司 BitSight 公布的數(shù)據(jù)，名為“Mylobot”的僵尸網(wǎng)絡(luò)正在全球肆虐，每天記錄感染的設(shè)備數(shù)量超過 50000 臺(tái)。

圖源：趨勢(shì)科技

網(wǎng)絡(luò)安全公司 Deep Instinct 在 2018 年首次記錄了“Mylobot”僵尸網(wǎng)絡(luò)，該公司發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)具有反分析技術(shù)和下載程序能力。

科技公司 Lumen 的 Black Lotus Labs 在幾個(gè)月后也報(bào)告發(fā)現(xiàn)了該僵尸網(wǎng)絡(luò)，在其博文中寫道：“Mylobot 的危險(xiǎn)之處在于它能夠在感染主機(jī)后下載和執(zhí)行任何類型的有效負(fù)載。這意味著它可以隨時(shí)根據(jù)攻擊者的意愿，下載任何其他類型的惡意軟件”。

IT之家附 Mylobot 僵尸網(wǎng)絡(luò)的相關(guān)特點(diǎn)：

• 反虛擬機(jī)、沙箱和調(diào)試技術(shù)

• 使用加密的資源文件封裝內(nèi)部代碼

• Process hollowing：一種安全漏洞，其中攻擊者刪除可執(zhí)行文件中的代碼并用惡意代碼替換它

• Reflective EXE：直接從內(nèi)存中執(zhí)行 EXE 文件的行為，而不是將其保存在磁盤上

Mylobot 僵尸網(wǎng)絡(luò)主要使用的代理 C2 IP 地址：

• 89.39.105.47

• 89.38.96.140

• 89.38.96.14

• 217.23.12.80

• 178.132.3.12

• 168.119.15.229

• 89.38.98.48

• 49.12.128.181

• 37.48.112.111

• 109.236.82.28

• 49.12.128.180

• 144.76.8.93

• 194.88.106.18

• 95.211.203.197

• 89.39.104.201

• 95.168.169.43

• 95.211.198.102

• 91.229.23.112

• 217.23.13.104

• 95.211.140.149

• 62.112.11.245

• 178.132.2.82

• 116.202.114.236

• 217.23.12.50

• 89.39.104.58

• 89.38.98.47

• 194.88.105.108

• 109.236.83.166

• 109.236.91.239

• 89.39.107.92

• 190.2.134.165

• 217.23.8.12

• 89.39.104.62

• 89.39.107.82