XLoader 殭屍網絡操作員掩碼 C&使用概率論的 C 服務器
Check Point 發現了新版本的 XLoader 殭屍網絡, 一種攻擊 Windows 和 MacOS 系統的信息竊取殭屍網絡 使用一種新的方式來掩蓋 C&在 Actions 中創建的值.
據專家介紹 截屏並提取與安裝在受害者計算機上的各種程序相關的憑據, 新版本的 加載器 研究人員說,BotenaGo 概率論 到 “隱藏” 攻擊者’ C&在 Actions 中創建的值, 使惡意軟件很難被檢測到.
我們描述了惡意軟件作者應用到 XLoader 以掩蓋 C&C 基礎架構——比我們以前看到的任何東西都多. 現在很難將小麥從穀殼中分離出來並發現真正的 C&Xloader用作煙幕的數千個合法域中的C服務器.Check Point 專家寫道.
通過隱藏真實C的域名實現高隱蔽性&C 服務器以及包含的配置 64 假域名, 從中 16 域是隨機選擇的, 然後其中兩個 16 替換為假 C&C地址和真實地址.
你可能也有興趣知道什麼 俄語 弗朗頓 殭屍網絡可以做的不僅僅是大規模 分佈式拒絕服務 攻擊.
在新版本的 XLoader, 機制變了: 選擇後 16 配置中的虛假域, 在每個通信週期之前,前八個域被覆蓋並被賦予新的隨機值. 同時, 採取措施跳過真實域.
此外, 加載器 2.5 用兩個假服務器地址和真實 C 替換創建列表中的三個域&C服務器域. 黑客的最終目的很明顯 – 以防止發現真正的 C&C服務器, 基於訪問域之間的延遲.
XLoader 首先創建一個列表 16 隨機選擇的域 64 存儲在配置中的域. 在每次嘗試訪問選定的 16 域, 執行以下代碼:
這段代碼的目的是用新的隨機值部分覆蓋訪問域列表. 所以, 如果 XLoader 運行時間足夠長, 它將訪問新的隨機選擇的域. 重要的是要注意只有第一個 8 值被覆蓋, 和剩下的 8 保持與發布後立即選擇的相同.專家說.
專家們非常擔心攻擊者將概率論原理用於其卑鄙目的這一事實. 這表明黑客在開發策略和工具方面變得越來越足智多謀.
