XLoader Botnet Operator Mask C&C servery využívající teorii pravděpodobnosti

Helga Smithčerven 3, 2022Naposledy aktualizováno: červen 3, 2022
20 1 minutové čtení

Check Point objevil novou verzi botnetu XLoader, botnet kradoucí informace, který útočí na systémy Windows a MacOS který používá nový způsob maskování C&Hodnoty vytvořené v akcích.

Podle odborníků z Kontrolní bod, novou verzi XLloader používá teorie pravděpodobnosti na “skrýt” útočníci’ C&Hodnoty vytvořené v akcích, velmi obtížně detekovatelný malware.

Popisujeme změny, které autoři malwaru použili na XLoader, aby zakryli C&Infrastruktura C – více než cokoli, co jsme viděli dříve. Nyní je podstatně těžší oddělit zrno od plev a objevit skutečné C&C servery mezi tisíci legitimních domén používaných Xloaderem jako kouřová clona.Píší odborníci z Check Pointu.

Vysoké utajení je dosaženo skrytím názvu domény skutečného C&C server spolu s konfigurací obsahující 64 falešné domény, z nichž 16 domény jsou vybírány náhodně, a pak dva z nich 16 jsou nahrazeny falešným C&C adresa a skutečná adresa.

Také by vás mohlo zajímat co ruština Fronton Botnet dokáže mnohem víc než jen masivní DDoS Útoky.

V nových verzích XLoaderu, mechanismus se změnil: po výběru 16 falešné domény z konfigurace, prvních osm domén je před každým komunikačním cyklem přepsáno a jsou jim přiděleny nové náhodné hodnoty. Ve stejnou dobu, jsou přijímána opatření k přeskočení skutečné domény.

Dále, XLloader 2.5 nahradí tři domény z vytvořeného seznamu dvěma falešnými adresami serveru a skutečným C&doména serveru C. Konečný cíl hackerů je zřejmý – zabránit objevení skutečného C&C server, na základě zpoždění mezi přístupy k doménám.

XLoader nejprve vytvoří seznam 16 domény, které jsou náhodně vybrány z 64 domény uložené v konfiguraci. Po každém pokusu o přístup k vybranému 16 domény, provede se následující kód:

C&C servery botnetu XLoader

Účelem tohoto kusu kódu je částečně přepsat seznam zpřístupněných domén novými náhodnými hodnotami. Proto, pokud XLoader běží dostatečně dlouho, bude přistupovat k novým náhodně vybraným doménám. Je důležité věnovat pozornost skutečnosti, že pouze první 8 hodnoty jsou přepsány, a zbývající 8 zůstanou stejné jako ty, které byly vybrány ihned po spuštění.říkají odborníci.
Odborníci jsou velmi znepokojeni skutečností, že útočníci využívají principy teorie pravděpodobnosti pro své odporné účely. To naznačuje, že hackeři jsou při vývoji taktiky a nástrojů vynalézavější.
Značky
Helga Smithčerven 3, 2022Naposledy aktualizováno: červen 3, 2022
20 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru