XLoader 봇넷 오퍼레이터 마스크 C&확률 이론을 사용하는 C 서버
Check Point는 XLoader 봇넷의 새 버전을 발견했습니다., Windows 및 MacOS 시스템을 공격하는 정보 탈취 봇넷 그것은 C를 마스킹하는 새로운 방법을 사용합니다.&Actions에서 생성된 값.
의 전문가들에 따르면 체크포인트, 의 새 버전 XLoader 용도 확률 이론 에게 “숨다” 공격자’ 기음&Actions에서 생성된 값, 맬웨어를 탐지하기 매우 어렵게 만듭니다..
악성 코드 작성자가 C를 가리기 위해 XLoader에 적용한 변경 사항을 설명합니다.&C 인프라 – 이전에 본 그 무엇보다. 이제 쭉정이에서 밀을 분리하고 실제 C를 발견하는 것이 훨씬 더 어렵습니다.&Xloader가 연막으로 사용하는 수천 개의 합법적인 도메인 중 C 서버.체크포인트 전문가가 작성.
높은 스텔스는 실제 C의 도메인 이름을 숨겨서 달성됩니다.&다음을 포함하는 구성과 함께 C 서버 64 가짜 도메인, 어떤에서 16 도메인은 무작위로 선택됩니다, 그리고 나서 이 두 가지 16 가짜 C로 대체&C 주소와 실제 주소.
다음 항목에 관심이 있을 수도 있습니다. 러시아인 프론톤 봇넷은 방대한 것보다 훨씬 더 많은 일을 할 수 있습니다. 디도스 공격.
XLoader의 새 버전에서, 메커니즘이 변경되었습니다: 선택 후 16 구성의 거짓 도메인, 각 통신 주기 전에 처음 8개 도메인을 덮어쓰고 새로운 임의 값을 제공합니다.. 동시에, 실제 영역을 건너뛰는 조치가 취해집니다..
게다가, XLoader 2.5 생성된 목록에서 세 개의 도메인을 두 개의 가짜 서버 주소와 실제 C로 대체합니다.&C 서버 도메인. 해커의 궁극적인 목표는 뻔하다 – 실제 C의 발견을 방지하기 위해&C 서버, 도메인에 대한 액세스 간의 지연을 기반으로 합니다..
XLoader는 먼저 다음 목록을 생성합니다. 16 무작위로 선택된 도메인 64 구성에 저장된 도메인. 선택한 액세스를 시도할 때마다 16 도메인, 다음 코드가 실행됩니다:
이 코드의 목적은 액세스된 도메인 목록을 새로운 임의 값으로 부분적으로 덮어쓰는 것입니다.. 그러므로, XLoader가 충분히 오래 실행되는 경우, 무작위로 선택한 새로운 도메인에 액세스합니다.. 처음에만 있다는 사실에 주목하는 것이 중요합니다. 8 값을 덮어씁니다., 그리고 나머지 8 출시 직후 선택된 것과 동일하게 유지.전문가들은 말한다.
전문가들은 공격자가 자신의 사악한 목적을 위해 확률 이론의 원칙을 사용한다는 사실에 대해 매우 우려하고 있습니다.. 이는 해커가 전술과 도구를 개발하는 데 더 능숙해지고 있음을 시사합니다..
