안드로이드용 One UI란?
One UI는 Samsung의 Android용 사용자 정의 인터페이스인 Samsung Experience를 대체합니다. 단순화되고 깔끔하며 필수 정보만 표시하도록 설계되어 주의가 산만해지지 않습니다.
Mylobot은 무엇이며 이 악성코드는 어떻게 작동하나요?
2017년 보안 연구원들은 매일 약 23,000개의 악성코드 샘플을 탐지했는데, 이는 매시간 약 795개의 악성코드가 생성되는 수치입니다. 끔찍하게 들리지만 실제로 이러한 샘플의 대부분은 기존 악성 코드의 변형이며 "새로운" 서명을 생성하기 위해 다른 코드를 사용합니다. 그러나 최근 Mylobot이라는 새롭고 매우 정교한 악성 코드가 등장했습니다.
마이로봇이란 무엇인가요?
Mylobot은 다수의 악의적인 의도를 포함하는 봇넷 악성코드 입니다. Deep Instinct의 보안 연구원인 Tom Nipravsky는 이 악성 코드를 처음으로 발견했습니다.
이 악성 코드는 일련의 복잡한 감염 및 난독화 기술을 하나의 강력한 패키지에 결합합니다. Mylobot에서 사용되는 기술은 다음과 같습니다.
- 안티가상머신(VM) 기술 : 이 악성코드는 컴퓨터 환경에서 가상머신 사용 징후를 검사합니다 . 사용자가 가상 머신을 사용하고 있다는 표시가 발견되면 가상 머신이 실행되지 않습니다.
- 안티 샌드박스 기술 : 안티 가상 머신 기술과 매우 유사합니다.
더 보기: Windows 10을 위한 최고의 샌드박스 애플리케이션 7가지
- 디버깅 방지 기술 : 특정 디버깅 프로그램의 동작을 변경하여 보안 연구원이 악성 코드 샘플을 효과적으로 작업하지 못하도록 방지합니다.
- 내부를 암호화된 리소스 파일로 래핑 : 악성코드의 내부 코드를 암호화하여 보호합니다.
- 코드 주입 공격 기법 : Mylobot은 사용자 지정 코드를 실행하여 시스템을 공격하고, 이 코드로 프로세스를 감염시켜 일반 작업에 액세스하고 방해합니다.
- 빈 핸들 : 공격자는 일시 중지된 상태에서 새로운 프로세스를 생성한 후 이를 숨겨진 프로세스로 대체합니다.
- Reflective EXE 기술 : 드라이브 대신 메모리에서 EXE 파일을 실행합니다.
- 지연 메커니즘 : 악성코드는 명령 및 제어 서버에 연결하기 전 14일을 지연합니다.
Mylobot은 숨겨진 상태를 유지하기 위해 다양한 기술을 수행합니다.
안티샌드박스, 안티디버그 및 안티가상 머신 기술은 안티맬웨어 소프트웨어 로 검사하는 동안 맬웨어가 감지되는 것을 방지 할 뿐만 아니라 보안 연구원이 컴퓨터에서 맬웨어를 격리하는 것을 방지합니다. 분석 및 연구를 위한 가상 또는 샌드박스 환경 .
Mylobot은 Reflective EXE를 사용하여 드라이브에서 직접 작동하지 않으므로 바이러스 백신이나 맬웨어 방지 소프트웨어로 분석할 수 없기 때문에 탐지를 더욱 어렵게 만듭니다.
Nipravsky는 게시물에서 "코드 구조가 매우 복잡합니다. 이것은 멀티 스레드 악성 코드이며 각 스레드는 악성 코드의 다양한 기능을 구현하는 역할을 담당합니다."라고 썼습니다. 또한 다음과 같이 언급했습니다. “이 악성 코드에는 서로 중첩된 세 개의 파일 계층이 포함되어 있으며, 각 계층은 다음 계층의 실행을 담당합니다. 마지막 레이어는 Reflective EXE 기술을 사용합니다."
Mylobot은 분석 방지 및 탐지 방지 기술과 함께 14일 동안 지연한 후 명령 및 제어 서버에 접속할 수 있습니다. Mylobot이 연결되면 봇넷은 Windows Defender 및 Windows 업데이트를 끄고 일부 Windows 방화벽 포트를 닫습니다.
Mylobot은 다른 유형의 악성 코드를 검색하고 제거합니다.
이 Mylobot 악성코드의 흥미롭고 드문 특징 중 하나는 다른 악성코드를 검색하고 파괴할 수 있는 능력이 있다는 것입니다. 다른 맬웨어와 달리 Mylobot은 시스템에 이러한 유형의 맬웨어가 있는 경우 파괴할 준비가 되어 있습니다. 시스템의 Application Data 폴더에서 일반적인 악성 코드 파일 및 폴더를 검사합니다. 특정 파일이나 프로세스를 찾으면 Mylobot은 이를 "종료"합니다.
그렇다면 Mylobot은 정확히 어떤 일을 할까요?
Mylobot의 주요 기능은 공격자가 온라인 로그인 정보, 시스템 파일 등에 접근할 수 있는 시스템을 제어하는 것입니다. 피해 수준은 시스템 공격자에 따라 다릅니다. 특히 기업 환경에 침투할 경우 큰 피해를 입힐 수 있습니다.
Mylobot은 DorkBot, Ramdo 및 악명 높은 Locky 네트워크와 같은 다른 봇넷에도 연결되어 있습니다. Mylobot이 봇넷 및 기타 유형의 맬웨어에 대한 "전달 경로" 역할을 한다면 이는 정말 재앙입니다.
마이로봇에 대응하는 방법
나쁜 소식은 Mylobot이 2년 넘게 시스템을 감염시켜 왔다는 것입니다. 해당 명령 및 제어 서버는 2015년 11월에 처음 발견되었습니다. Mylobot은 Deep Instinct의 "딥 러닝" 네트워크 연구 도구에 의해 발견되기 전까지 오랫동안 다른 모든 연구원과 보안 회사를 피했습니다.
기존의 안티 바이러스 및 안티 맬웨어 도구는 적어도 당분간은 Mylobot을 보호할 수 없습니다. 이제 Mylobot 샘플을 사용할 수 있으므로 많은 연구원과 보안 회사에서 이를 사용하여 이 악성 코드에 대한 조치를 찾을 수 있습니다.
그동안 바이러스 백신 및 컴퓨터 보안 도구 목록을 확인하시기 바랍니다 . 이러한 도구는 Mylobot을 파괴할 수는 없지만 다른 악성 코드를 차단할 수 있습니다. 또한 Windows 10 컴퓨터에서 악성 소프트웨어(맬웨어)를 완전히 제거하는 문서를 참조할 수 있습니다 .
더보기:
컴퓨터 네트워크의 데시벨(dB)에 대해 알아보기
데시벨(dB)은 유무선 네트워크 신호의 강도를 측정하는 데 사용되는 표준 측정 단위입니다.
VPN을 사용해야 하는 13가지 이유
가상 사설망은 저렴하고 사용하기 쉬우며 컴퓨터와 스마트폰 설정의 중요한 구성 요소입니다. 방화벽 및 안티 바이러스/안티 맬웨어 솔루션과 함께 온라인에서 보내는 모든 순간이 완전히 비공개가 되도록 VPN을 설치해야 합니다.
Telnet 프로토콜에 대해 알아보기
Telnet은 서버, PC, 라우터, 스위치, 카메라, 방화벽 등 다양한 장치를 원격으로 관리하는 데 사용되는 명령줄 프로토콜입니다.
데이터 손상이란 무엇입니까?
누군가 민감한 데이터 보존에 대해 논의할 때 "데이터 손상"이라는 용어를 듣게 될 것입니다. 그렇다면 "데이터 손상"이란 무엇이며 문제가 발생한 경우 파일을 어떻게 수정할 수 있습니까?
Catalyst Control Center(CCC.exe)란 무엇입니까?
Catalyst Control Center는 드라이버와 함께 제공되는 유틸리티로 AMD 비디오 카드 작동을 돕습니다. 이는 사용자 작업 관리자에 CCC.exe로 나타나며 대부분의 경우 이에 대해 걱정할 필요가 없습니다.
코드 서명 악성 코드란 무엇이며 이를 방지하는 방법은 무엇입니까?
코드 서명은 운영 체제와 사용자가 소프트웨어의 안전성을 확인할 수 있도록 소프트웨어에 대한 인증서 기반 디지털 서명을 사용하는 방법입니다. 코드 서명된 악성코드란 무엇이며 어떻게 작동합니까?
클라우드 방화벽에 대해 알아보기
우리 주변의 기술이 발전함에 따라 이러한 추세를 따라잡기 위해서는 방화벽도 클라우드로 가져와야 합니다. 그래서 클라우드 방화벽이라는 용어가 탄생한 것입니다.
Mylobot은 무엇이며 이 악성코드는 어떻게 작동하나요?
2017년 보안 연구원들은 매일 약 23,000개의 악성코드 샘플을 탐지했는데, 이는 매시간 약 795개의 악성코드가 생성되는 수치입니다. 최근 Mylobot이라는 새롭고 매우 정교한 악성 코드가 등장했습니다.
FAT32, NTFS, exFAT 형식이란 무엇입니까?
NTFS, FAT32, exFAT는 Windows의 파일 시스템이지만 구체적으로 NTFS란 무엇이며 FAT32는 무엇이며 exFAT는 무엇이며 유사점과 차이점은 무엇입니까? 독자들이 이 기사를 참조하기를 바랍니다.