天天传染 50000 台设备，“Mylobot”僵尸收集正在全球残虐

IT之家 2 月 23 日动静，根据收集平安评级公司 BitSight 公布的数据，名为“Mylobot”的僵尸收集正在全球残虐，天天笔录传染的设备数量超越 50000 台。

图源：趋向科技

收集平安公司 Deep Instinct 在 2018 年初次笔录了“Mylobot”僵尸收集，该公司发现该僵尸收集具有反阐发手艺和下载法式才能。

科技公司 Lumen 的 Black Lotus Labs 在几个月后也陈述发现了该僵尸收集，在其博文中写道：“Mylobot 的求助紧急之处在于它可以在传染主机后下载和施行任何类型的有效负载。那意味着它能够随时根据进攻者的意愿，下载任何其他类型的歹意软件”。

IT之家附 Mylobot 僵尸收集的相关特征：

反虚拟机、沙箱和调试手艺

利用加密的资本文件封拆内部代码

Process hollowing：一种平安破绽，此中进攻者删除可施行文件中的代码并用歹意代码替代它

Reflective EXE：间接从内存中施行 EXE 文件的行为，而不是将其保留在磁盘上

Mylobot 僵尸收集次要利用的代办署理 C2 IP 地址：

89.39.105.47

89.38.96.140

89.38.96.14

217.23.12.80

178.132.3.12

168.119.15.229

89.38.98.48

49.12.128.181

37.48.112.111

109.236.82.28

49.12.128.180

144.76.8.93

194.88.106.18

95.211.203.197

89.39.104.201

95.168.169.43

95.211.198.102

91.229.23.112

217.23.13.104

95.211.140.149

62.112.11.245

178.132.2.82

116.202.114.236

217.23.12.50

89.39.104.58

89.38.98.47

194.88.105.108

109.236.83.166

109.236.91.239

89.39.107.92

190.2.134.165

217.23.8.12

89.39.104.62

89.39.107.82