天天传染 50000 台设备,“Mylobot”僵尸收集正在全球残虐
IT之家 2 月 23 日动静,根据收集平安评级公司 BitSight 公布的数据,名为“Mylobot”的僵尸收集正在全球残虐,天天笔录传染的设备数量超越 50000 台。
图源:趋向科技
收集平安公司 Deep Instinct 在 2018 年初次笔录了“Mylobot”僵尸收集,该公司发现该僵尸收集具有反阐发手艺和下载法式才能。
科技公司 Lumen 的 Black Lotus Labs 在几个月后也陈述发现了该僵尸收集,在其博文中写道:“Mylobot 的求助紧急之处在于它可以在传染主机后下载和施行任何类型的有效负载。那意味着它能够随时根据进攻者的意愿,下载任何其他类型的歹意软件”。
IT之家附 Mylobot 僵尸收集的相关特征:
反虚拟机、沙箱和调试手艺
利用加密的资本文件封拆内部代码
Process hollowing:一种平安破绽,此中进攻者删除可施行文件中的代码并用歹意代码替代它
Reflective EXE:间接从内存中施行 EXE 文件的行为,而不是将其保留在磁盘上
Mylobot 僵尸收集次要利用的代办署理 C2 IP 地址:
89.39.105.47
89.38.96.140
89.38.96.14
217.23.12.80
178.132.3.12
168.119.15.229
89.38.98.48
49.12.128.181
37.48.112.111
109.236.82.28
49.12.128.180
144.76.8.93
194.88.106.18
95.211.203.197
89.39.104.201
95.168.169.43
95.211.198.102
91.229.23.112
217.23.13.104
95.211.140.149
62.112.11.245
178.132.2.82
116.202.114.236
217.23.12.50
89.39.104.58
89.38.98.47
194.88.105.108
109.236.83.166
109.236.91.239
89.39.107.92
190.2.134.165
217.23.8.12
89.39.104.62
89.39.107.82