XLoader Botnet Operators Masque C&Serveurs C utilisant la théorie des probabilités

Helga Smithjuin 3, 2022Dernière mise à jour: juin 3, 2022
21 Temps de lecture 1 minute

Check Point a découvert une nouvelle version du botnet XLoader, un botnet voleur d'informations qui attaque les systèmes Windows et MacOS qui utilise une nouvelle façon de masquer C&Les valeurs créées dans Actions.

Selon des experts de Point de contrôle, la nouvelle version de XLoader les usages théorie des probabilités à “cacher” attaquants’ C&Les valeurs créées dans Actions, rendant les logiciels malveillants très difficiles à détecter.

Nous décrivons les changements que les auteurs de logiciels malveillants ont appliqués à XLoader pour masquer le C&Infrastructure C - plus que tout ce que nous avons vu auparavant. Maintenant, il est beaucoup plus difficile de séparer le bon grain de l'ivraie et de découvrir le vrai C&Serveurs C parmi des milliers de domaines légitimes utilisés par Xloader comme écran de fumée.Les experts de Check Point écrivent.

Une grande furtivité est obtenue en masquant le nom de domaine du vrai C&serveur C avec une configuration contenant 64 faux domaines, à partir duquel 16 les domaines sont choisis au hasard, et puis deux d'entre eux 16 sont remplacés par un faux C&Adresse C et adresse réelle.

Vous pourriez également être intéressé de savoir ce que russe Fronton Un botnet peut faire bien plus que massivement DDoS Attaques.

Dans les nouvelles versions de XLoader, le mécanisme a changé: après avoir sélectionné 16 faux domaines de la configuration, les huit premiers domaines sont écrasés et reçoivent de nouvelles valeurs aléatoires avant chaque cycle de communication. En même temps, des mesures sont prises pour sauter le domaine réel.

en outre, XLoader 2.5 remplace trois domaines de la liste créée par deux fausses adresses de serveur et le vrai C&Domaine du serveur C. Le but ultime des hackers est évident – pour empêcher la découverte du vrai C&serveur C, en fonction des délais entre les accès aux domaines.

XLoader crée d'abord une liste de 16 domaines choisis au hasard parmi les 64 domaines stockés dans la configuration. Après chaque tentative d'accès au 16 domaines, le code suivant est exécuté:

C&Serveurs C du botnet XLoader

Le but de ce morceau de code est d'écraser partiellement la liste des domaines accédés par de nouvelles valeurs aléatoires. Par conséquent, si XLoader fonctionne assez longtemps, il accédera à de nouveaux domaines sélectionnés au hasard. Il est important de faire attention au fait que seul le premier 8 les valeurs sont écrasées, et le reste 8 restent les mêmes que ceux qui ont été sélectionnés immédiatement après le lancement.les experts disent.
Les experts sont très préoccupés par le fait que les attaquants utilisent les principes de la théorie des probabilités à leurs fins viles. Cela suggère que les pirates sont de plus en plus ingénieux dans le développement de tactiques et d'outils.
Mots clés
Helga Smithjuin 3, 2022Dernière mise à jour: juin 3, 2022
21 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page