XLoader Botnet Operators Mask C&C-servers met kansrekening

Helga Smithjuni- 3, 2022Laatst bijgewerkt: juni- 3, 2022
21 1 minuut lezen

Check Point heeft een nieuwe versie van het XLoader-botnet ontdekt, een informatie-stelend botnet dat Windows- en MacOS-systemen aanvalt die een nieuwe manier gebruikt om C . te maskeren&De waarden die zijn gemaakt in Acties.

Volgens experts van Controlepunt, de nieuwe versie van XLoader De onderzoekers zeggen dat BotenaGo waarschijnlijkheids theorie tot “verbergen” aanvallers’ C&De waarden die zijn gemaakt in Acties, waardoor malware erg moeilijk te detecteren is.

We beschrijven de wijzigingen die malware-auteurs hebben toegepast op XLoader om de C . te verdoezelen&C-infrastructuur - meer dan alles wat we eerder hebben gezien. Nu is het aanzienlijk moeilijker om het kaf van het koren te scheiden en de echte C . te ontdekken&C-servers tussen duizenden legitieme domeinen die door Xloader worden gebruikt als rookgordijn.Check Point-experts schrijven.

Hoge stealth wordt bereikt door de domeinnaam van de echte C . te verbergen&C-server samen met een configuratie met: 64 valse domeinen, van welke 16 domeinen worden willekeurig geselecteerd, en dan twee van deze 16 worden vervangen door een nep-C&C-adres en een echt adres.

Misschien ben je ook geïnteresseerd om te weten wat? Russisch Fronton Botnet kan veel meer dan enorm DDoS Aanvallen.

In nieuwe versies van XLoader, het mechanisme is veranderd: na het selecteren van 16 valse domeinen uit de configuratie, de eerste acht domeinen worden overschreven en krijgen nieuwe willekeurige waarden voor elke communicatiecyclus. Tegelijkertijd, maatregelen worden genomen om het echte domein over te slaan.

In aanvulling op, XLoader 2.5 vervangt drie domeinen uit de aangemaakte lijst door twee valse serveradressen en de echte C&C-serverdomein. Het uiteindelijke doel van de hackers is duidelijk – om de ontdekking van de echte C . te voorkomen&C-server, gebaseerd op de vertragingen tussen toegangen tot de domeinen.

XLoader maakt eerst een lijst met 16 domeinen die willekeurig worden geselecteerd uit de 64 domeinen opgeslagen in de configuratie. Na elke poging om toegang te krijgen tot de geselecteerde 16 domeinen, de volgende code wordt uitgevoerd:

C&C-servers van het XLoader-botnet

Het doel van dit stukje code is om de lijst met geopende domeinen gedeeltelijk te overschrijven met nieuwe willekeurige waarden. Daarom, als XLoader lang genoeg werkt, het zal toegang krijgen tot nieuwe willekeurig geselecteerde domeinen. Het is belangrijk om op te letten dat alleen de eerste 8 waarden worden overschreven, en de rest 8 blijven hetzelfde als die onmiddellijk na de lancering werden geselecteerd.experts zeggen.
Experts maken zich grote zorgen over het feit dat aanvallers de principes van kansrekening gebruiken voor hun verachtelijke doeleinden. Dit suggereert dat hackers vindingrijker worden in het ontwikkelen van tactieken en tools.
Tags
Helga Smithjuni- 3, 2022Laatst bijgewerkt: juni- 3, 2022
21 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop