XLoader-Botnet-Operator-Maske C&C-Server mit Wahrscheinlichkeitstheorie

Helga SmithJuni 3, 2022Letztes Update Juni 3, 2022
17 1 Minute Lesezeit

Check Point hat eine neue Version des XLoader-Botnetzes entdeckt, ein informationsstehlendes Botnet, das Windows- und MacOS-Systeme angreift das eine neue Methode zum Maskieren von C verwendet&Die in Aktionen erstellten Werte.

Laut Experten aus Kontrollpunkt, die neue Version von XLoader Verwendet Wahrscheinlichkeitstheorie zu “ausblenden” Angreifer’ C&Die in Aktionen erstellten Werte, wodurch Malware sehr schwer zu erkennen ist.

Wir beschreiben die Änderungen, die Malware-Autoren an XLoader vorgenommen haben, um die C&C-Infrastruktur – mehr als alles, was wir bisher gesehen haben. Jetzt ist es deutlich schwieriger, die Spreu vom Weizen zu trennen und das echte C zu entdecken&C-Server unter Tausenden von legitimen Domänen, die von Xloader als Nebelwand verwendet werden.Experten von Check Point schreiben.

Hohe Tarnung wird erreicht, indem der Domänenname des echten C verborgen wird&C-Server zusammen mit einer Konfiguration, die 64 gefälschte Domänen, aus denen 16 Domains werden zufällig ausgewählt, und dann zwei davon 16 werden durch ein falsches C ersetzt&C-Adresse und eine echte Adresse.

Vielleicht interessiert es Sie auch, was Russisch Fronton Botnet kann viel mehr als massiv DDoS Anschläge.

In neuen Versionen von XLoader, Der Mechanismus hat sich geändert: nach Auswahl 16 falsche Domänen aus der Konfiguration, Die ersten acht Domänen werden vor jedem Kommunikationszyklus überschrieben und mit neuen Zufallswerten versehen. Gleichzeitig, Es werden Maßnahmen ergriffen, um die reale Domäne zu überspringen.

In Ergänzung, XLoader 2.5 ersetzt drei Domains aus der erstellten Liste durch zwei gefälschte Serveradressen und das echte C&C-Server-Domäne. Das ultimative Ziel der Hacker ist offensichtlich – um die Entdeckung des echten C zu verhindern&C-Server, basierend auf den Verzögerungen zwischen den Zugriffen auf die Domänen.

XLoader erstellt zuerst eine Liste von 16 Domänen, die zufällig aus den ausgewählt werden 64 Domänen, die in der Konfiguration gespeichert sind. Nach jedem Zugriffsversuch auf die ausgewählte 16 Domänen, Der folgende Code wird ausgeführt:

C&C-Server des XLoader-Botnetzes

Der Zweck dieses Codestücks besteht darin, die Liste der Domänen, auf die zugegriffen wird, teilweise mit neuen Zufallswerten zu überschreiben. Deshalb, wenn XLoader lange genug läuft, es wird auf neue zufällig ausgewählte Domänen zugegriffen. Es ist wichtig, darauf zu achten, dass nur die erste 8 Werte werden überschrieben, und die restlichen 8 bleiben die gleichen wie diejenigen, die unmittelbar nach dem Start ausgewählt wurden.Experten sagen.
Experten sind sehr besorgt darüber, dass Angreifer die Prinzipien der Wahrscheinlichkeitstheorie für ihre abscheulichen Zwecke nutzen. Dies deutet darauf hin, dass Hacker bei der Entwicklung von Taktiken und Tools immer einfallsreicher werden.
Schlagwörter
Helga SmithJuni 3, 2022Letztes Update Juni 3, 2022
17 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"