Maska operatora botnetu XLloader C&Serwery C wykorzystujące teorię prawdopodobieństwa

Helga Smithczerwiec 3, 2022Ostatnio zaktualizowany: czerwiec 3, 2022
17 1 minuta przeczytania

Check Point odkrył nową wersję botnetu XLoader, botnet kradnący informacje, który atakuje systemy Windows i MacOS który używa nowego sposobu maskowania C&Wartości tworzone w Działaniach.

Według ekspertów z Punkt kontrolny, nowa wersja XLloader używa teoria prawdopodobieństwa do “ukryć” napastnicy’ do&Wartości tworzone w Działaniach, czyniąc złośliwe oprogramowanie bardzo trudnym do wykrycia.

Opisujemy zmiany, które autorzy złośliwego oprogramowania zastosowali do XLoadera, aby zaciemnić C&Infrastruktura C – więcej niż wszystko, co widzieliśmy wcześniej. Teraz znacznie trudniej jest oddzielić pszenicę od plew i odkryć prawdziwe C&Serwery C wśród tysięcy legalnych domen używanych przez Xloader jako zasłona dymna.Eksperci Check Point piszą.

Wysoki poziom ukrycia uzyskuje się, ukrywając nazwę domeny prawdziwego C&Serwer C wraz z konfiguracją zawierającą 64 fałszywe domeny, z którego 16 domeny są wybierane losowo, a potem dwa z nich 16 są zastępowane fałszywym C&Adres C i prawdziwy adres.

Możesz być również zainteresowany, aby wiedzieć, co Rosyjski Fronton Botnet potrafi o wiele więcej niż masowo DDoS Ataki.

W nowych wersjach XLoader, mechanizm się zmienił: po wybraniu 16 fałszywe domeny z konfiguracji, pierwsze osiem domen jest nadpisywanych i otrzymują nowe losowe wartości przed każdym cyklem komunikacji. W tym samym czasie, podejmowane są środki, aby pominąć prawdziwą domenę.

Dodatkowo, XLloader 2.5 zastępuje trzy domeny z utworzonej listy dwoma fałszywymi adresami serwerów i prawdziwym C&Domena serwera C. Ostateczny cel hakerów jest oczywisty – aby zapobiec odkryciu prawdziwego C&serwer C, na podstawie opóźnień między dostępami do domen.

XLoader najpierw tworzy listę 16 domeny, które są losowo wybierane z 64 domeny przechowywane w konfiguracji. Po każdej próbie uzyskania dostępu do wybranych 16 domeny, wykonywany jest następujący kod:

do&Serwery C botnetu XLoader

Celem tego fragmentu kodu jest częściowe nadpisanie listy dostępnych domen nowymi losowymi wartościami. W związku z tym, jeśli XLoader działa wystarczająco długo, uzyska dostęp do nowych losowo wybranych domen. Należy zwrócić uwagę na to, że tylko pierwszy 8 wartości są nadpisywane, a pozostałe 8 pozostają takie same jak te, które zostały wybrane bezpośrednio po uruchomieniu.eksperci mówią.
Eksperci są bardzo zaniepokojeni faktem, że napastnicy wykorzystują zasady teorii prawdopodobieństwa do swoich podłych celów. Sugeruje to, że hakerzy stają się coraz bardziej zaradni w opracowywaniu taktyk i narzędzi.
Tagi
Helga Smithczerwiec 3, 2022Ostatnio zaktualizowany: czerwiec 3, 2022
17 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry