Phiên bản Botnet XLoader mới sử dụng lý thuyết xác suất để ẩn các máy chủ C&C của nó

XLoader Botnet

Theo nghiên cứu mới nhất, một phiên bản nâng cao của phần mềm độc hại XLoader đã được phát hiện áp dụng cách tiếp cận dựa trên xác suất để ngụy trang chỉ huy và kiểm soát (C&C) của nó, theo nghiên cứu mới nhất.

Công ty Check Point của Israel cho biết: “Giờ đây, việc tách lúa mì ra khỏi vỏ và khám phá các máy chủ C&C thực sự trong số hàng nghìn tên miền hợp pháp được Xloader sử dụng như một màn khói đã trở nên khó khăn hơn đáng kể”.

Được phát hiện lần đầu tiên vào tháng 10 năm 2020, XLoader là một phiên bản kế thừa của Formbook và là một trình đánh cắp thông tin đa nền tảng có khả năng lấy cắp thông tin đăng nhập từ các , chụp các tổ hợp phím và ảnh chụp màn hình, đồng thời thực hiện các lệnh và tải trọng tùy ý.

Gần đây hơn, xung đột địa chính trị đang diễn ra giữa Nga và Ukraine đã được chứng minh là một miếng mồi béo bở cho việc phát tán XLoader bằng các email lừa đảo nhằm vào các quan chức chính phủ cấp cao ở Ukraine.

Các phát hiện mới nhất từ ​​Check Point được xây dựng dựa trên một báo cáo trước đó của Zscaler vào tháng 1 năm 2022, trong đó tiết lộ hoạt động bên trong của giao thức truyền thông và mã hóa mạng C&C (hoặc C2) của phần mềm độc hại, lưu ý việc sử dụng máy chủ giả để che giấu máy chủ hợp pháp và tránh phần mềm độc hại hệ thống phân tích.

Xem tiếp:   Cảnh báo của Hoa Kỳ về việc tin tặc APT nhắm mục tiêu vào hệ thống ICS / SCADA bằng phần mềm độc hại chuyên biệt

XLoader Botnet

Các nhà nghiên cứu giải thích: “Giao tiếp C2 xảy ra với các miền mồi nhử và máy chủ C2 thực, bao gồm cả việc gửi dữ liệu bị đánh cắp từ nạn nhân,” các nhà nghiên cứu giải thích. “Do đó, có khả năng một C2 dự phòng có thể được ẩn trong các miền C2 mồi nhử và được sử dụng như một kênh liên lạc dự phòng trong trường hợp miền C2 chính bị gỡ xuống.”

Sự lén lút xuất phát từ thực tế là tên miền cho máy chủ C&C thực được ẩn cùng với cấu hình chứa 64 tên miền giả mạo, từ đó 16 tên miền được chọn ngẫu nhiên, sau đó thay thế hai trong số 16 tên miền đó bằng địa chỉ C&C giả và địa chỉ xác thực.

Điều thay đổi trong các phiên bản mới hơn của XLoader là sau khi chọn 16 miền mồi nhử từ cấu hình, tám miền đầu tiên được ghi đè bằng các giá trị ngẫu nhiên mới trước mỗi chu kỳ giao tiếp trong khi thực hiện các bước để bỏ qua miền thực.

Ngoài ra, XLoader 2.5 thay thế ba miền trong danh sách đã tạo bằng hai địa chỉ máy chủ mồi nhử và miền máy chủ C&C thực. Mục tiêu cuối cùng là ngăn chặn sự phát hiện của máy chủ C&C thực, dựa trên độ trễ giữa các lần truy cập vào các miền.

Thực tế là các tác giả phần mềm độc hại đã sử dụng các nguyên tắc của lý thuyết xác suất để truy cập vào máy chủ hợp pháp một lần nữa chứng minh cách các tác nhân đe dọa liên tục điều chỉnh chiến thuật của họ để tiếp tục các mục tiêu bất chính của họ.

Xem tiếp:   Người dùng Android và Chrome có thể sớm tạo thẻ tín dụng ảo để bảo vệ người dùng thực

Các nhà nghiên cứu của Check Point cho biết: “Những sửa đổi này đạt được hai mục tiêu cùng một lúc: mỗi nút trong mạng botnet duy trì tỷ lệ gõ lại ổn định trong khi đánh lừa các tập lệnh tự động và ngăn chặn việc phát hiện ra các máy chủ C&C thực”.

.

Related Posts

Check Also

Shadow ID là gì và chúng quan trọng như thế nào vào năm 2022?

Ngay trước lễ Giáng sinh năm ngoái, trong một trường hợp đầu tiên, JPMorgan đã …