XLoader Botnet Operators Mask C&C-servere, der bruger sandsynlighedsteori

Helga Smithjuni 3, 2022Sidst opdateret: juni 3, 2022
17 1 minuts læsning

Check Point har opdaget en ny version af XLoader-botnettet, et informationstjælende botnet, der angriber Windows- og MacOS-systemer der bruger en ny måde at maskere C på&Værdierne skabt i Actions.

Ifølge eksperter fra Kontrolpunkt, den nye version af XLoader bruger sandsynlighedsteori til “skjule” angribere’ C&Værdierne skabt i Actions, gør malware meget vanskelig at opdage.

Vi beskriver de ændringer, malware-forfattere anvendte på XLoader for at skjule C&C-infrastruktur – mere end noget andet, vi så før. Nu er det væsentligt sværere at skille hveden fra avnerne og opdage det rigtige C&C-servere blandt tusindvis af legitime domæner brugt af Xloader som røgslør.Det skriver Check Point-eksperter.

Høj stealth opnås ved at skjule domænenavnet på den rigtige C&C-server sammen med en konfiguration, der indeholder 64 falske domæner, hvorfra 16 domæner er tilfældigt udvalgt, og så to af disse 16 er erstattet med en falsk C&C-adresse og en rigtig adresse.

Du kan også være interesseret i at vide hvad Russisk Fronton Botnet kan meget mere end massivt DDoS Angreb.

I nye versioner af XLoader, mekanismen har ændret sig: efter at have valgt 16 falske domæner fra konfigurationen, de første otte domæner overskrives og får nye tilfældige værdier før hver kommunikationscyklus. På samme tid, der træffes foranstaltninger for at springe det rigtige domæne over.

Desuden, XLoader 2.5 erstatter tre domæner fra den oprettede liste med to falske serveradresser og det rigtige C&C server domæne. Hackernes ultimative mål er indlysende – for at forhindre opdagelsen af ​​den rigtige C&C server, baseret på forsinkelserne mellem adgange til domænerne.

XLoader opretter først en liste over 16 domæner, der er tilfældigt udvalgt fra 64 domæner gemt i konfigurationen. Efter hvert forsøg på at få adgang til det valgte 16 domæner, følgende kode udføres:

C&C-servere af XLoader-botnettet

Formålet med dette stykke kode er delvist at overskrive listen over tilgåede domæner med nye tilfældige værdier. Derfor, hvis XLoader kører længe nok, den vil få adgang til nye tilfældigt udvalgte domæner. Det er vigtigt at være opmærksom på, at kun den første 8 værdier overskrives, og de resterende 8 forblive de samme som dem, der blev valgt umiddelbart efter lanceringen.siger eksperter.
Eksperter er meget bekymrede over det faktum, at angribere bruger principperne for sandsynlighedsteori til deres modbydelige formål. Dette tyder på, at hackere bliver mere ressourcestærke til at udvikle taktikker og værktøjer.
Mærker
Helga Smithjuni 3, 2022Sidst opdateret: juni 3, 2022
17 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap