Maska operaterjev botneta XLoader C&C strežniki z uporabo teorije verjetnosti

Helga Smithjunija 3, 2022Zadnja posodobitev: junija 3, 2022
1 minutno branje

Check Point je odkril novo različico botneta XLoader, botnet za krajo informacij, ki napada sisteme Windows in MacOS ki uporablja nov način za maskiranje C&C strežniki.

Po mnenju strokovnjakov iz Check Point, nova različica XLoader uporablja teorija verjetnosti do “skriti” napadalci’ C&C strežniki, zaradi česar je zlonamerno programsko opremo zelo težko odkriti.

Opisujemo spremembe, ki so jih avtorji zlonamerne programske opreme uporabili za XLoader, da bi prikrili C&Infrastruktura C – več kot kar koli prej. Zdaj je bistveno težje ločiti zrnje od plev in odkriti pravega C&C strežniki med tisočimi legitimnimi domenami, ki jih Xloader uporablja kot dimno zaveso.Pišejo strokovnjaki Check Pointa.

Visoka prikritost je dosežena s skrivanjem imena domene pravega C&C strežnik skupaj s konfiguracijo, ki vsebuje 64 lažne domene, iz katerega 16 domene so izbrane naključno, in potem dva od teh 16 zamenjajo s ponarejenim C&Naslov C in pravi naslov.

Morda vas bo zanimalo tudi kaj ruski Na sprednji strani Botnet lahko naredi veliko več kot masiven DDoS Napadi.

V novih različicah XLoader, mehanizem se je spremenil: po izbiri 16 lažne domene iz konfiguracije, prvih osem domen se prepiše in dobi nove naključne vrednosti pred vsakim komunikacijskim ciklom. Ob istem času, sprejeti so ukrepi za preskok prave domene.

Poleg tega, XLoader 2.5 zamenja tri domene iz ustvarjenega seznama z dvema lažnima naslovoma strežnika in pravim C&Domena strežnika C. Končni cilj hekerjev je očiten – preprečiti odkritje pravega C&C strežnik, na podlagi zamikov med dostopi do domen.

XLoader najprej ustvari seznam 16 domene, ki so naključno izbrane med 64 domene, shranjene v konfiguraciji. Po vsakem poskusu dostopa do izbranega 16 domene, se izvede naslednja koda:

C&C strežniki botneta XLoader

Namen tega dela kode je delno prepisati seznam dostopnih domen z novimi naključnimi vrednostmi. Zato, če XLoader deluje dovolj dolgo, dostopal bo do novih naključno izbranih domen. Pomembno je biti pozoren na dejstvo, da le prvi 8 vrednosti so prepisane, in preostali 8 ostanejo enaki tistim, ki so bili izbrani takoj po lansiranju.pravijo strokovnjaki.
Strokovnjake zelo skrbi dejstvo, da napadalci uporabljajo načela teorije verjetnosti za svoje podle namene.. To nakazuje, da postajajo hekerji vse bolj iznajdljivi pri razvijanju taktik in orodij.
Oznake
Helga Smithjunija 3, 2022Zadnja posodobitev: junija 3, 2022
1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, including one of Amazon's contractors. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

Your email address will not be published. Required fields are marked *

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh