XLoaderボットネットオペレーターマスクC&確率論を使用したCサーバー
Check Pointは、XLoaderボットネットの新しいバージョンを発見しました, WindowsおよびMacOSシステムを攻撃する情報を盗むボットネット Cをマスクする新しい方法を使用します&アクションで作成された値.
からの専門家によると チェックポイント, 新しいバージョンの XLoader 研究者はBotenaGoと言います 確率論 に “隠れる” 攻撃者’ C&アクションで作成された値, マルウェアの検出を非常に困難にします.
マルウェアの作成者がCを不明瞭にするためにXLoaderに適用した変更について説明します&Cインフラストラクチャ–これまでに見た何よりも. 今では、小麦をもみ殻から分離して本物のCを発見することは非常に困難です。&Xloaderがスモークスクリーンとして使用する数千の正当なドメインの中のCサーバー.チェック・ポイントの専門家は次のように書いています.
本物のCのドメイン名を隠すことで高いステルス性を実現&Cサーバーと以下を含む構成 64 偽のドメイン, そこから 16 ドメインはランダムに選択されます, そしてこれらのうちの2つ 16 偽のCに置き換えられます&Cアドレスと実際のアドレス.
あなたはまた何を知りたいかもしれません ロシア フロントン ボットネットは大規模以上のことを行うことができます DDoS 攻撃.
XLoaderの新しいバージョン, メカニズムが変更されました: 選択後 16 構成からの偽のドメイン, 最初の8つのドメインは上書きされ、各通信サイクルの前に新しいランダム値が与えられます. 同時に, 実際のドメインをスキップするための対策が講じられています.
加えて, XLoader 2.5 作成されたリストの3つのドメインを、2つの偽のサーバーアドレスと実際のCに置き換えます&Cサーバードメイン. ハッカーの究極の目標は明らかです – 本物のCの発見を防ぐため&Cサーバー, ドメインへのアクセス間の遅延に基づく.
XLoaderは最初に次のリストを作成します 16 からランダムに選択されたドメイン 64 構成に保存されているドメイン. 選択したものにアクセスしようとするたびに 16 ドメイン, 次のコードが実行されます:
このコードの目的は、アクセスされたドメインのリストを新しいランダムな値で部分的に上書きすることです。. したがって, XLoaderが十分に長く実行される場合, ランダムに選択された新しいドメインにアクセスします. 最初のものだけが 8 値は上書きされます, と残り 8 発売直後に選択されたものと同じまま.専門家は言う.
専門家は、攻撃者がその卑劣な目的のために確率論の原則を使用しているという事実を非常に懸念しています. これは、ハッカーが戦術やツールの開発においてより機知に富んでいることを示唆しています。.
