ตัวดำเนินการ XLoader Botnet Mask C&เซิร์ฟเวอร์ C โดยใช้ทฤษฎีความน่าจะเป็น

เฮลก้า สมิธมิถุนายน 3, 2022ปรับปรุงล่าสุด: มิถุนายน 3, 2022
20 1 อ่านนาที

Check Point ได้ค้นพบบ็อตเน็ต XLoader เวอร์ชันใหม่, an information-stealing botnet that attacks Windows and MacOS systems that uses a new way to mask C&เซิร์ฟเวอร์ซี.

According to experts from จุดตรวจ, the new version of เอ็กซ์โหลดเดอร์ uses probability theory ถึง “hideattackers’ ค&เซิร์ฟเวอร์ซี, making malware very difficult to detect.

We describe the changes malware authors applied to XLoader to obscure the C&C infrastructure – more than anything we saw before. Now it is significantly harder to separate the wheat from the chaff and discover the real C&C servers among thousands of legitimate domains used by Xloader as a smokescreen.Check Point experts write.

High stealth is achieved by hiding the domain name of the real C&C server along with a configuration containing 64 fake domains, from which 16 domains are randomly selected, and then two of these 16 are replaced with a fake C&C address and a real address.

คุณอาจสนใจที่จะรู้ว่าอะไร Russian ข้างหน้า Botnet Can Do Much More than Massive ดีดอส Attacks.

In new versions of XLoader, the mechanism has changed: after selecting 16 false domains from the configuration, the first eight domains are overwritten and given new random values before each communication cycle. ในเวลาเดียวกัน, measures are taken to skip the real domain.

นอกจากนี้, เอ็กซ์โหลดเดอร์ 2.5 replaces three domains from the created list with two fake server addresses and the real C&C server domain. The ultimate goal of the hackers is obviousto prevent the discovery of the real C&เซิร์ฟเวอร์ซี, based on the delays between accesses to the domains.

XLoader first creates a list of 16 domains that are randomly selected from the 64 domains stored in the configuration. After each attempt to access the selected 16 domains, the following code is executed:

ค&C servers of the XLoader botnet

The purpose of this piece of code is to partially overwrite the list of accessed domains with new random values. ดังนั้น, if XLoader runs long enough, it will access new randomly selected domains. It’s important to pay attention to the fact that only the first 8 values are overwritten, and the remaining 8 remain the same as those that were selected immediately after launch.ผู้เชี่ยวชาญกล่าวว่า.
Experts are very concerned about the fact that attackers use the principles of probability theory for their vile purposes. This suggests that hackers are becoming more resourceful in developing tactics and tools.
แท็ก
เฮลก้า สมิธมิถุนายน 3, 2022ปรับปรุงล่าสุด: มิถุนายน 3, 2022
20 1 อ่านนาที

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน