ГЛАВНАЯ // NEWS


Поймай меня, если сможешь: операторы ботнета XLoader прячут C&C-серверы с помощью теории вероятностей

Специалисты обнаружили новую версию XLoader – ботнета для кражи информации, поражающего системы Windows и MacOS. По словам экспертов из Check Point, новая версия XLoader использует теорию вероятностей для маскировки C&C-серверов злоумышленников, из-за чего вредонос очень тяжело обнаружить.

Высокая скрытность достигается за счет того, что доменное имя настоящего C&C-сервера скрыто вместе с конфигурацией, содержащей 64 ложных домена, из которых случайным образом выбираются 16 доменов, а затем два из этих 16 заменяются на поддельный C&C-адрес и настоящий адрес.

В новых версиях XLoader механизм изменился: после выбора 16 ложных доменов из конфигурации, первые восемь доменов перезаписываются и получают новые случайные значения перед каждым циклом связи. При этом принимаются меры для пропуска настоящего домена. Кроме того, XLoader 2.5 заменяет три домена из созданного списка на два адреса сервера-обманки и домен настоящего C&C-сервера. Конечная цель хакеров очевидна – предотвратить обнаружение настоящего C&C-сервера, основываясь на задержках между обращениями к доменам.

Специалистов сильно беспокоит факт использования злоумышленниками принципов теории вероятности для своих гнусных целей. Это говорит о том, что хакеры становятся все изобретательнее при разработке тактик и инструментов.

Источник: SecurityLab


Powered by Отряд им. 7-го МАЯ