XLoader Botnet Operators Mask C&C Szerverek Valószínűségelmélet használatával

Helga Smithjúnius 3, 2022Utolsó frissítés: június 3, 2022
1 perc olvasás

A Check Point felfedezte az XLoader botnet új verzióját, információlopó botnet, amely Windows és MacOS rendszereket támad meg amely új módszert használ a C elfedésére&C szerverek.

Szakértők szerint a Check Point, új verziója XLoader használ valószínűségelmélet hogy “elrejt” támadók’ C&C szerverek, megnehezíti a rosszindulatú programok észlelését.

Leírjuk azokat a változtatásokat, amelyeket a rosszindulatú programok készítői alkalmaztak az XLoadernél, hogy eltakarják a C&C infrastruktúra – több, mint bármi, amit korábban láttunk. Most sokkal nehezebb elválasztani a búzát a pelyvától, és felfedezni az igazi C-t&C-szerverek több ezer legitim tartomány között, amelyeket az Xloader füstölőként használ.A Check Point szakértői írják.

A magas lopakodóképesség az igazi C domain nevének elrejtésével érhető el&C kiszolgálót egy olyan konfigurációval együtt, amely tartalmazza 64 hamis domainek, ahonnan 16 a domainek véletlenszerűen kerülnek kiválasztásra, majd ebből kettőt 16 hamis C-re cserélik&C cím és valódi cím.

Az is érdekelhet, hogy mit orosz Fronton A botnet sokkal többre képes, mint a hatalmas DDoS Támadások.

Az XLoader új verzióiban, megváltozott a mechanizmus: kiválasztása után 16 hamis tartományok a konfigurációból, az első nyolc tartomány felülírásra kerül, és minden kommunikációs ciklus előtt új véletlenszerű értékeket kap. Egy időben, intézkedéseket tesznek a valódi tartomány kihagyására.

Továbbá, XLoader 2.5 lecserél három domaint a létrehozott listából két hamis szervercímre és a valódi C-re&C szerver tartomány. A hackerek végső célja nyilvánvaló – hogy megakadályozzák az igazi C felfedezését&C szerver, a tartományokhoz való hozzáférés közötti késések alapján.

Az XLoader először létrehoz egy listát 16 tartományok, amelyek véletlenszerűen vannak kiválasztva a 64 a konfigurációban tárolt tartományok. A kiválasztott elérési kísérletek után 16 domainek, a következő kód kerül végrehajtásra:

C&Az XLoader botnet C szerverei

Ennek a kódrészletnek az a célja, hogy részben felülírja az elért tartományok listáját új véletlenszerű értékekkel. Ezért, ha az XLoader elég sokáig fut, új, véletlenszerűen kiválasztott tartományokhoz fog hozzáférni. Fontos figyelni arra, hogy csak az első 8 az értékek felülíródnak, és a maradék 8 ugyanazok maradnak, mint amelyeket közvetlenül az indítás után választottak ki.szakértők mondják.
A szakértőket nagyon aggasztja a tény, hogy a támadók a valószínűségszámítás elveit aljas céljaikra használják fel.. Ez arra utal, hogy a hackerek egyre találékonyabbak a taktikák és eszközök fejlesztésében.
Címke
Helga Smithjúnius 3, 2022Utolsó frissítés: június 3, 2022
1 perc olvasás

Helga Smith

Mindig is érdekelt az informatika, különösen az adatbiztonság és a téma, amelyet manapság úgy hívnak "adattudomány", tizenéves kora óta. Mielőtt a Víruseltávolító csapathoz került volna főszerkesztőként, Több cégnél dolgoztam kiberbiztonsági szakértőként, köztük az Amazon egyik vállalkozója. Újabb élmény: Arden és Reading egyetemeken tanítok.

Válaszolj

Ez az oldal az Akismetet használja a spamek csökkentésére. Ismerje meg, hogyan dolgozzák fel megjegyzései adatait.

'Fel a tetejéhez' gomb