XLoader Botnet Operators Mask C&C-servere som bruker sannsynlighetsteori

Helga Smithjuni 3, 2022Sist oppdatert: juni 3, 2022
20 1 minutt lest

Check Point har oppdaget en ny versjon av XLoader-botnettet, et botnett som stjeler informasjon som angriper Windows- og MacOS-systemer som bruker en ny måte å maskere C&Verdiene skapt i Actions.

Ifølge eksperter fra Sjekkpunkt, den nye versjonen av XLoader bruker sannsynlighetsteori til “gjemme seg” angripere’ C&Verdiene skapt i Actions, gjør skadelig programvare svært vanskelig å oppdage.

Vi beskriver endringene som skadevareforfattere brukte på XLoader for å skjule C&C-infrastruktur – mer enn noe vi så før. Nå er det betydelig vanskeligere å skille hveten fra agnene og oppdage den ekte C&C-servere blant tusenvis av legitime domener brukt av Xloader som røykteppe.Det skriver Check Point-eksperter.

Høy stealth oppnås ved å skjule domenenavnet til den ekte C&C-server sammen med en konfigurasjon som inneholder 64 falske domener, hvorfra 16 domener er tilfeldig valgt, og så to av disse 16 er erstattet med en falsk C&C-adresse og en ekte adresse.

Du kan også være interessert i å vite hva russisk Fronton Botnet kan gjøre mye mer enn massivt DDoS Angrep.

I nye versjoner av XLoader, mekanismen har endret seg: etter å ha valgt 16 falske domener fra konfigurasjonen, de første åtte domenene blir overskrevet og gitt nye tilfeldige verdier før hver kommunikasjonssyklus. Samtidig, tiltak er iverksatt for å hoppe over det virkelige domenet.

I tillegg, XLoader 2.5 erstatter tre domener fra den opprettede listen med to falske serveradresser og den ekte C&C server domene. Det endelige målet til hackerne er åpenbart – for å forhindre oppdagelsen av den virkelige C&C -server, basert på forsinkelsene mellom tilganger til domenene.

XLoader oppretter først en liste over 16 domener som er tilfeldig valgt fra 64 domener som er lagret i konfigurasjonen. Etter hvert forsøk på å få tilgang til det valgte 16 domener, følgende kode kjøres:

C&C-servere til XLoader-botnettet

Formålet med denne kodebiten er å delvis overskrive listen over åpnede domener med nye tilfeldige verdier. Derfor, hvis XLoader kjører lenge nok, den vil få tilgang til nye tilfeldig valgte domener. Det er viktig å ta hensyn til det faktum at kun den første 8 verdier overskrives, og resten 8 forbli de samme som ble valgt umiddelbart etter lansering.sier eksperter.
Eksperter er svært bekymret over det faktum at angripere bruker prinsippene for sannsynlighetsteori for sine sjofele formål. Dette tyder på at hackere blir mer ressurssterke når det gjelder å utvikle taktikk og verktøy.
Merker
Helga Smithjuni 3, 2022Sist oppdatert: juni 3, 2022
20 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen