XLoader 僵尸网络操作员掩码 C&使用概率论的 C 服务器
Check Point 发现了新版本的 XLoader 僵尸网络, 一种攻击 Windows 和 MacOS 系统的信息窃取僵尸网络 使用一种新的方式来掩盖 C&在 Actions 中创建的值.
据专家介绍 检查点, 新版本的 加载器 用途 概率论 到 “隐藏” 攻击者’ C&在 Actions 中创建的值, 使恶意软件很难被检测到.
我们描述了恶意软件作者应用到 XLoader 以掩盖 C&C 基础架构——比我们以前看到的任何东西都多. 现在很难将小麦从谷壳中分离出来并发现真正的 C&Xloader用作烟幕的数千个合法域中的C服务器.Check Point 专家写道.
通过隐藏真实C的域名实现高隐蔽性&C 服务器以及包含的配置 64 假域名, 从中 16 域是随机选择的, 然后其中两个 16 替换为假 C&C地址和真实地址.
你可能也有兴趣知道什么 俄语 弗朗顿 僵尸网络可以做的不仅仅是大规模 分布式拒绝服务 攻击.
在新版本的 XLoader, 机制变了: 选择后 16 配置中的虚假域, 在每个通信周期之前,前八个域被覆盖并被赋予新的随机值. 同时, 采取措施跳过真实域.
此外, 加载器 2.5 用两个假服务器地址和真实 C 替换创建列表中的三个域&C服务器域. 黑客的最终目的很明显 – 以防止发现真正的 C&C服务器, 基于访问域之间的延迟.
XLoader 首先创建一个列表 16 随机选择的域 64 存储在配置中的域. 在每次尝试访问选定的 16 域, 执行以下代码:
这段代码的目的是用新的随机值部分覆盖访问域列表. 所以, 如果 XLoader 运行时间足够长, 它将访问新的随机选择的域. 重要的是要注意只有第一个 8 值被覆盖, 和剩下的 8 保持与发布后立即选择的相同.专家说.
专家们非常担心攻击者将概率论原理用于其卑鄙目的这一事实. 这表明黑客在开发策略和工具方面变得越来越足智多谋.
