XLoader Botnet Operators Mask C&C Bedieners wat waarskynlikheidsteorie gebruik

Helga SmithJunie 3, 2022Laas opgedateer: Junie 3, 2022
1 minuut gelees

Check Point het 'n nuwe weergawe van die XLoader-botnet ontdek, 'n botnet wat inligting steel wat Windows- en MacOS-stelsels aanval wat 'n nuwe manier gebruik om C te masker&C bedieners.

Volgens kenners van Check Point, die nuwe weergawe van XLoader gebruike waarskynlikheidsteorie aan “wegsteek” aanvallers’ C&C bedieners, maak malware baie moeilik om op te spoor.

Ons beskryf die veranderinge wat malware-outeurs op XLoader toegepas het om die C&C-infrastruktuur – meer as enigiets wat ons voorheen gesien het. Nou is dit aansienlik moeiliker om die koring van die kaf te skei en die regte C te ontdek&C-bedieners onder duisende wettige domeine wat deur Xloader as 'n rookskerm gebruik word.Check Point-kenners skryf.

Hoë stealth word bereik deur die domeinnaam van die regte C te verberg&C-bediener saam met 'n konfigurasie wat 64 vals domeine, waaruit 16 domeine word lukraak gekies, en dan twee hiervan 16 word vervang met 'n vals C&C-adres en 'n regte adres.

Jy sal dalk ook belangstel om te weet wat Russies Aan die voorkant Botnet kan baie meer doen as massief DDoS Aanvalle.

In nuwe weergawes van XLoader, die meganisme het verander: nadat jy gekies het 16 vals domeine uit die konfigurasie, die eerste agt domeine word voor elke kommunikasiesiklus oorgeskryf en nuwe ewekansige waardes gegee. Op dieselfde tyd, maatreëls word getref om die werklike domein oor te slaan.

Daarby, XLoader 2.5 vervang drie domeine uit die geskepte lys met twee vals bedieneradresse en die regte C&C bediener domein. Die uiteindelike doel van die kuberkrakers is voor die hand liggend – om die ontdekking van die regte C te voorkom&C bediener, gebaseer op die vertragings tussen toegang tot die domeine.

XLoader skep eers 'n lys van 16 domeine wat lukraak gekies word uit die 64 domeine wat in die konfigurasie gestoor is. Na elke poging om toegang tot die geselekteerde 16 domeine, die volgende kode word uitgevoer:

C&C-bedieners van die XLoader-botnet

Die doel van hierdie stukkie kode is om die lys van toegang tot domeine gedeeltelik met nuwe ewekansige waardes te oorskryf. Daarom, as XLoader lank genoeg loop, dit sal toegang kry tot nuwe lukraak geselekteerde domeine. Dit is belangrik om aandag te skenk aan die feit dat slegs die eerste 8 waardes word oorskryf, en die oorblywende 8 bly dieselfde as dié wat onmiddellik na bekendstelling gekies is.sê kenners.
Kenners is baie bekommerd oor die feit dat aanvallers die beginsels van waarskynlikheidsteorie vir hul afskuwelike doeleindes gebruik. Dit dui daarop dat kuberkrakers meer vindingryk raak in die ontwikkeling van taktieke en gereedskap.
Merkers
Helga SmithJunie 3, 2022Laas opgedateer: Junie 3, 2022
1 minuut gelees

Helga Smith

Ek het altyd in rekenaarwetenskap belanggestel, veral datasekuriteit en die tema, wat deesdae genoem word "data wetenskap", sedert my vroeë tienerjare. Voordat u as hoofredakteur in die virusverwyderingspan kom, Ek het as 'n kuberveiligheidskenner in verskeie maatskappye gewerk, insluitend een van Amazon se kontrakteurs. Nog 'n ervaring: Ek het onderrig in Arden en Reading universiteite.

Los 'n antwoord

Hierdie webwerf gebruik Akismet om strooipos te verminder. Leer hoe jou opmerkingdata verwerk word.

Terug na bo-knoppie