Μάσκα χειριστή XLoader Botnet C&Διακομιστές C που χρησιμοποιούν Θεωρία Πιθανοτήτων

Helga SmithΙούνιος 3, 2022Τελευταία ενημέρωση: Ιούνιος 3, 2022
17 1 λεπτό διάβασμα

Η Check Point ανακάλυψε μια νέα έκδοση του botnet XLoader, ένα botnet που κλέβει πληροφορίες που επιτίθεται σε συστήματα Windows και MacOS που χρησιμοποιεί έναν νέο τρόπο κάλυψης του C&Οι τιμές που δημιουργούνται στις Ενέργειες.

Σύμφωνα με ειδικούς από Σημείο ελέγχου, η νέα έκδοση του XLoader χρήσεις θεωρία πιθανοτήτων προς το “κρύβω” επιτιθέμενοι’ ντο&Οι τιμές που δημιουργούνται στις Ενέργειες, καθιστώντας το κακόβουλο λογισμικό πολύ δύσκολο να εντοπιστεί.

Περιγράφουμε τις αλλαγές που εφάρμοσαν οι συντάκτες κακόβουλου λογισμικού στο XLoader για να κρύψουν το C&Υποδομή C – περισσότερο από οτιδήποτε είδαμε πριν. Τώρα είναι πολύ πιο δύσκολο να ξεχωρίσεις το σιτάρι από την ήρα και να ανακαλύψεις το πραγματικό C&Διακομιστές C ανάμεσα σε χιλιάδες νόμιμους τομείς που χρησιμοποιούνται από το Xloader ως προπέτασμα καπνού.Οι ειδικοί του Check Point γράφουν.

Το υψηλό stealth επιτυγχάνεται με την απόκρυψη του ονόματος τομέα του πραγματικού C&Διακομιστής C μαζί με μια διαμόρφωση που περιέχει 64 ψεύτικους τομείς, από την οποία 16 οι τομείς επιλέγονται τυχαία, και μετά δύο από αυτά 16 αντικαθίστανται με ψεύτικο C&Διεύθυνση Γ και πραγματική διεύθυνση.

Μπορεί επίσης να σας ενδιαφέρει να μάθετε τι Ρωσική Fronton Το Botnet μπορεί να κάνει πολλά περισσότερα από το Massive DDoS Επιθέσεις.

Σε νέες εκδόσεις του XLoader, ο μηχανισμός έχει αλλάξει: μετά την επιλογή 16 ψευδείς τομείς από τη διαμόρφωση, Οι πρώτοι οκτώ τομείς αντικαθίστανται και δίνονται νέες τυχαίες τιμές πριν από κάθε κύκλο επικοινωνίας. Την ίδια στιγμή, λαμβάνονται μέτρα για την παράκαμψη του πραγματικού τομέα.

Επιπλέον, XLoader 2.5 αντικαθιστά τρεις τομείς από τη λίστα που δημιουργήθηκε με δύο ψεύτικες διευθύνσεις διακομιστή και το πραγματικό C&Τομέας διακομιστή C. Ο απώτερος στόχος των χάκερ είναι προφανής – για να αποτρέψει την ανακάλυψη του πραγματικού C&Διακομιστής C, με βάση τις καθυστερήσεις μεταξύ των προσβάσεων στους τομείς.

Το XLoader δημιουργεί πρώτα μια λίστα με 16 τομείς που επιλέγονται τυχαία από το 64 τομείς που είναι αποθηκευμένοι στη διαμόρφωση. Μετά από κάθε προσπάθεια πρόσβασης στα επιλεγμένα 16 τομείς, εκτελείται ο παρακάτω κώδικας:

ντο&Διακομιστές C του botnet XLoader

Ο σκοπός αυτού του κομματιού κώδικα είναι να αντικαταστήσει μερικώς τη λίστα των τομέων στους οποίους έχετε πρόσβαση με νέες τυχαίες τιμές. Επομένως, εάν το XLoader τρέχει αρκετά, θα έχει πρόσβαση σε νέους τυχαία επιλεγμένους τομείς. Είναι σημαντικό να δώσετε προσοχή στο γεγονός ότι μόνο το πρώτο 8 οι τιμές αντικαθίστανται, και τα υπόλοιπα 8 παραμένουν ίδια με αυτά που επιλέχθηκαν αμέσως μετά την κυκλοφορία.λένε οι ειδικοί.
Οι ειδικοί ανησυχούν πολύ για το γεγονός ότι οι επιτιθέμενοι χρησιμοποιούν τις αρχές της θεωρίας πιθανοτήτων για τους άθλιους σκοπούς τους. Αυτό υποδηλώνει ότι οι χάκερ γίνονται πιο ευρηματικοί στην ανάπτυξη τακτικών και εργαλείων.
Ετικέτες
Helga SmithΙούνιος 3, 2022Τελευταία ενημέρωση: Ιούνιος 3, 2022
17 1 λεπτό διάβασμα

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή