XLoader Botnet Operators Mask C&C-palvelimet todennäköisyysteoriaa käyttävät

Check Point on löytänyt uuden version XLoader-bottiverkosta, tietoa varastava bottiverkko, joka hyökkää Windows- ja MacOS-järjestelmiin joka käyttää uutta tapaa peittää C&Toiminnoissa luodut arvot.

Asiantuntijoiden mukaan NCC Groupin raportissa korostettiin, että SharkBotin tunnusmerkki on sen kyky suorittaa luvattomia tapahtumia automaattisen siirtojärjestelmän kautta., uusi versio XLoader käyttää todennäköisyysteoria kohteeseen “piilottaa” hyökkääjät’ C&Toiminnoissa luodut arvot, haittaohjelmien havaitseminen on erittäin vaikeaa.

Kuvaamme muutokset, joita haittaohjelmien tekijät tekivät XLoaderissa peittääkseen C:n&C-infrastruktuuri – enemmän kuin mikään aiemmin nähty. Nyt on huomattavasti vaikeampaa erottaa vehnää akanoista ja löytää todellinen C&C-palvelimet tuhansien laillisten verkkotunnusten joukossa, joita Xloader käyttää savuverhona.Check Pointin asiantuntijat kirjoittavat.

Korkea varkain saavutetaan piilottamalla oikean C:n verkkotunnus&C-palvelin sekä kokoonpano, joka sisältää 64 väärennettyjä verkkotunnuksia, josta 16 verkkotunnukset valitaan satunnaisesti, ja sitten kaksi näistä 16 korvataan väärennetyllä C:llä&C-osoite ja oikea osoite.

Saatat myös olla kiinnostunut tietämään mitä Venäjän kieli Fronton Botnet voi tehdä paljon enemmän kuin massiivinen DDoS Hyökkäykset.

XLoaderin uusissa versioissa, mekanismi on muuttunut: valinnan jälkeen 16 vääriä verkkotunnuksia määrityksestä, ensimmäiset kahdeksan aluetta kirjoitetaan päälle ja niille annetaan uudet satunnaiset arvot ennen jokaista viestintäjaksoa. Samaan aikaan, toimenpiteitä ryhdytään todellisen toimialueen ohittamiseksi.

Lisäksi, XLoader 2.5 korvaa kolme verkkotunnusta luodusta luettelosta kahdella väärennetyllä palvelinosoitteella ja oikealla C&C-palvelimen verkkotunnus. Hakkereiden perimmäinen tavoite on ilmeinen – estääkseen todellisen C:n löytämisen&C-palvelin, verkkotunnuksiin pääsyn välisten viiveiden perusteella.

XLoader luo ensin luettelon 16 verkkotunnukset, jotka valitaan satunnaisesti 64 kokoonpanoon tallennetut verkkotunnukset. Jokaisen yrityksen päästä valittuun 16 verkkotunnuksia, seuraava koodi suoritetaan:

C&XLoader-botnetin C-palvelimet

Tämän koodinpalan tarkoituksena on osittain korvata käytettyjen verkkotunnusten luettelo uusilla satunnaisilla arvoilla. Siksi, jos XLoader toimii tarpeeksi kauan, se käyttää uusia satunnaisesti valittuja verkkotunnuksia. On tärkeää kiinnittää huomiota siihen, että vain ensimmäinen 8 arvot ylikirjoitetaan, ja loput 8 pysyvät samoina kuin ne, jotka valittiin välittömästi käynnistämisen jälkeen.asiantuntijat sanovat.
Asiantuntijat ovat erittäin huolissaan siitä, että hyökkääjät käyttävät todennäköisyysteorian periaatteita ilkeisiin tarkoituksiinsa. Tämä viittaa siihen, että hakkereista on tulossa kekseliäisempiä taktiikoiden ja työkalujen kehittämisessä.

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike