Máscara de Operadores de Botnet XLoader C&Servidores C usando a teoria da probabilidade

Helga SmithJunho 3, 2022Última Actualização Junho 3, 2022
20 lido 1 minuto

Check Point descobriu uma nova versão do botnet XLoader, um botnet de roubo de informações que ataca sistemas Windows e MacOS que usa uma nova maneira de mascarar C&Os valores criados em Ações.

De acordo com especialistas da Ponto de Verificação, a nova versão do XLoader Os pesquisadores dizem que o BotenaGo teoria da probabilidade para “ocultar” atacantes’ C&Os valores criados em Ações, tornando o malware muito difícil de detectar.

Descrevemos as alterações que os autores de malware aplicaram ao XLoader para obscurecer o C&Infraestrutura C – mais do que qualquer coisa que vimos antes. Agora é significativamente mais difícil separar o joio do trigo e descobrir o verdadeiro C&Servidores C entre milhares de domínios legítimos usados ​​pelo Xloader como cortina de fumaça.Especialistas da Check Point escrevem.

Alta discrição é alcançada ocultando o nome de domínio do C real&servidor C junto com uma configuração contendo 64 domínios falsos, do qual 16 os domínios são selecionados aleatoriamente, e então dois desses 16 são substituídos por um falso C&Endereço C e um endereço real.

Você também pode estar interessado em saber o que russo Frontão Botnet pode fazer muito mais do que massivo DDoS Ataques.

Em novas versões do XLoader, o mecanismo mudou: depois de selecionar 16 domínios falsos da configuração, os primeiros oito domínios são sobrescritos e recebem novos valores aleatórios antes de cada ciclo de comunicação. Ao mesmo tempo, medidas são tomadas para pular o domínio real.

além do que, além do mais, XLoader 2.5 substitui três domínios da lista criada por dois endereços de servidor falsos e o C real&Domínio do servidor C. O objetivo final dos hackers é óbvio – para impedir a descoberta do verdadeiro C&Servidor C, com base nos atrasos entre os acessos aos domínios.

O XLoader primeiro cria uma lista de 16 domínios que são selecionados aleatoriamente a partir do 64 domínios armazenados na configuração. Após cada tentativa de acesso ao selecionado 16 domínios, o código a seguir é executado:

C&Servidores C da botnet XLoader

O objetivo deste pedaço de código é substituir parcialmente a lista de domínios acessados ​​com novos valores aleatórios. Portanto, se o XLoader for executado por tempo suficiente, ele acessará novos domínios selecionados aleatoriamente. É importante atentar para o fato de que apenas o primeiro 8 os valores são sobrescritos, e o restante 8 permanecem os mesmos que foram selecionados imediatamente após o lançamento.Especialistas dizem.
Os especialistas estão muito preocupados com o fato de os invasores usarem os princípios da teoria da probabilidade para seus propósitos vis. Isso sugere que os hackers estão se tornando mais engenhosos no desenvolvimento de táticas e ferramentas.
Tag
Helga SmithJunho 3, 2022Última Actualização Junho 3, 2022
20 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo