XLoader Botnet Operators Mask C&C-servrar som använder sannolikhetsteori

Helga Smithjuni 3, 2022Senast uppdaterad: juni 3, 2022
20 1 läst minut

Check Point har upptäckt en ny version av botnätet XLoader, ett informationstjälande botnät som attackerar Windows- och MacOS-system som använder ett nytt sätt att maskera C&Värdena som skapas i Actions.

Enligt experter från Check Point, den nya versionen av XLoader använder sannolikhetsteori till “Dölj” angripare’ C&Värdena som skapas i Actions, gör skadlig programvara mycket svår att upptäcka.

Vi beskriver ändringarna som författare av skadlig programvara tillämpade på XLoader för att dölja C&C-infrastruktur – mer än något vi sett tidigare. Nu är det betydligt svårare att skilja agnarna från vetet och upptäcka det riktiga C&C-servrar bland tusentals legitima domäner som används av Xloader som en rökridå.Det skriver Check Points experter.

Hög stealth uppnås genom att dölja domännamnet för den riktiga C&C-server tillsammans med en konfiguration som innehåller 64 falska domäner, från vilken 16 domäner är slumpmässigt valda, och sedan två av dessa 16 är ersatta med en falsk C&C-adress och en riktig adress.

Du kanske också är intresserad av att veta vad ryska Fronton Botnet kan göra mycket mer än massivt DDoS Attacker.

I nya versioner av XLoader, mekanismen har förändrats: efter att ha valt 16 falska domäner från konfigurationen, de första åtta domänerna skrivs över och ges nya slumpmässiga värden före varje kommunikationscykel. På samma gång, åtgärder vidtas för att hoppa över den verkliga domänen.

För övrigt, XLoader 2.5 ersätter tre domäner från den skapade listan med två falska serveradresser och det riktiga C&C-serverdomän. Hackarnas slutmål är uppenbart – för att förhindra upptäckten av den verkliga C&C-server, baserat på förseningarna mellan åtkomsterna till domänerna.

XLoader skapar först en lista med 16 domäner som väljs slumpmässigt från 64 domäner lagrade i konfigurationen. Efter varje försök att komma åt det valda 16 domäner, följande kod exekveras:

C&C-servrar för botnätet XLoader

Syftet med denna kodbit är att delvis skriva över listan över tillgängliga domäner med nya slumpmässiga värden. Därför, om XLoader körs tillräckligt länge, den kommer åt nya slumpmässigt valda domäner. Det är viktigt att uppmärksamma det faktum att endast den första 8 värden skrivs över, och resterande 8 förbli desamma som de som valdes ut direkt efter lanseringen.säger experter.
Experter är mycket oroade över det faktum att angripare använder principerna för sannolikhetsteorin för sina avskyvärda syften. Detta tyder på att hackare blir mer påhittiga när det gäller att utveckla taktik och verktyg.
Taggar
Helga Smithjuni 3, 2022Senast uppdaterad: juni 3, 2022
20 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen