Поймай меня, если сможешь: операторы ботнета XLoader прячут C&C-серверы с помощью теории вероятностей

Поймай меня, если сможешь: операторы ботнета XLoader прячут C&C-серверы с помощью теории вероятностей

C&C-сервер злоумышленников скрывает настоящее доменное имя за 63 фальшивыми.

image

Специалисты обнаружили новую версию XLoader – ботнета для кражи информации, поражающего системы Windows и MacOS. По словам экспертов из Check Point, новая версия XLoader использует теорию вероятностей для маскировки C&C-серверов злоумышленников, из-за чего вредонос очень тяжело обнаружить.

Высокая скрытность достигается за счет того, что доменное имя настоящего C&C-сервера скрыто вместе с конфигурацией, содержащей 64 ложных домена, из которых случайным образом выбираются 16 доменов, а затем два из этих 16 заменяются на поддельный C&C-адрес и настоящий адрес.

В новых версиях XLoader механизм изменился: после выбора 16 ложных доменов из конфигурации, первые восемь доменов перезаписываются и получают новые случайные значения перед каждым циклом связи. При этом принимаются меры для пропуска настоящего домена. Кроме того, XLoader 2.5 заменяет три домена из созданного списка на два адреса сервера-обманки и домен настоящего C&C-сервера. Конечная цель хакеров очевидна – предотвратить обнаружение настоящего C&C-сервера, основываясь на задержках между обращениями к доменам.

Специалистов сильно беспокоит факт использования злоумышленниками принципов теории вероятности для своих гнусных целей. Это говорит о том, что хакеры становятся все изобретательнее при разработке тактик и инструментов.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!