C&C-сервер злоумышленников скрывает настоящее доменное имя за 63 фальшивыми.
Специалисты обнаружили новую версию XLoader – ботнета для кражи информации, поражающего системы Windows и MacOS. По словам экспертов из Check Point, новая версия XLoader использует теорию вероятностей для маскировки C&C-серверов злоумышленников, из-за чего вредонос очень тяжело обнаружить.
Высокая скрытность достигается за счет того, что доменное имя настоящего C&C-сервера скрыто вместе с конфигурацией, содержащей 64 ложных домена, из которых случайным образом выбираются 16 доменов, а затем два из этих 16 заменяются на поддельный C&C-адрес и настоящий адрес.
В новых версиях XLoader механизм изменился: после выбора 16 ложных доменов из конфигурации, первые восемь доменов перезаписываются и получают новые случайные значения перед каждым циклом связи. При этом принимаются меры для пропуска настоящего домена. Кроме того, XLoader 2.5 заменяет три домена из созданного списка на два адреса сервера-обманки и домен настоящего C&C-сервера. Конечная цель хакеров очевидна – предотвратить обнаружение настоящего C&C-сервера, основываясь на задержках между обращениями к доменам.
Специалистов сильно беспокоит факт использования злоумышленниками принципов теории вероятности для своих гнусных целей. Это говорит о том, что хакеры становятся все изобретательнее при разработке тактик и инструментов.
5778 К? Пф! У нас градус знаний зашкаливает!