Maschera per operatori botnet XLoader C&Server C che utilizzano la teoria della probabilità

Helga Smithgiugno 3, 2022Ultimo aggiornamento: giugno 3, 2022
21 1 lettura minuto

Check Point ha scoperto una nuova versione della botnet XLoader, una botnet per il furto di informazioni che attacca i sistemi Windows e MacOS che usa un nuovo modo di mascherare C&I valori creati in Azioni.

Secondo gli esperti di Punto di controllo, la nuova versione di XLloader usi teoria della probabilità a “nascondere” attaccanti’ C&I valori creati in Azioni, rendendo il malware molto difficile da rilevare.

Descriviamo le modifiche che gli autori di malware hanno applicato a XLoader per oscurare il C&Infrastruttura C: più di qualsiasi altra cosa che abbiamo visto prima. Ora è molto più difficile separare il grano dalla pula e scoprire il vero C&Server C tra migliaia di domini legittimi utilizzati da Xloader come cortina fumogena.Gli esperti di Check Point scrivono.

L'elevata furtività si ottiene nascondendo il nome di dominio del vero C&C server insieme a una configurazione contenente 64 domini falsi, da cui 16 i domini vengono selezionati casualmente, e poi due di questi 16 vengono sostituiti con un falso C&Indirizzo C e un indirizzo reale.

Potresti anche essere interessato a sapere cosa russo Frontone La botnet può fare molto di più che massiccia DDoS Attacchi.

Nelle nuove versioni di XLader, il meccanismo è cambiato: dopo aver selezionato 16 falsi domini dalla configurazione, i primi otto domini vengono sovrascritti e vengono assegnati nuovi valori casuali prima di ogni ciclo di comunicazione. Allo stesso tempo, vengono prese misure per saltare il dominio reale.

Inoltre, XLloader 2.5 sostituisce tre domini dall'elenco creato con due indirizzi server falsi e il vero C&Dominio del server C. L'obiettivo finale degli hacker è ovvio – per impedire la scoperta del vero C&C server, in base ai ritardi tra gli accessi ai domini.

XLader crea prima un elenco di 16 domini selezionati casualmente dal 64 domini memorizzati nella configurazione. Dopo ogni tentativo di accesso al selezionato 16 domini, viene eseguito il codice seguente:

C&Server C della botnet XLoader

Lo scopo di questo pezzo di codice è sovrascrivere parzialmente l'elenco dei domini a cui si accede con nuovi valori casuali. Perciò, se XLoader funziona abbastanza a lungo, accederà a nuovi domini selezionati casualmente. È importante prestare attenzione al fatto che solo il primo 8 i valori vengono sovrascritti, e il restante 8 rimangono gli stessi di quelli selezionati subito dopo il lancio.dicono gli esperti.
Gli esperti sono molto preoccupati per il fatto che gli aggressori utilizzino i principi della teoria della probabilità per i loro vili scopi. Ciò suggerisce che gli hacker stanno diventando più intraprendenti nello sviluppo di tattiche e strumenti.
tag
Helga Smithgiugno 3, 2022Ultimo aggiornamento: giugno 3, 2022
21 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto