بهره‌گیری از نظریه احتمال در نسخه جدید بات‌نت XLoader با هدف مخفی کردن سرور‌های C&C

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new xloader botnet version using probability theory to hide its cc Servers 1
بر اساس آخرین تحقیقات، نسخه بهبودیافته بدافزار XLoader در حال اتخاذ رویکرد مبتنی بر احتمال برای استتار زیرساخت command-and-control (C&C) خود مشاهده شده است.

شرکت امنیت سایبری اسرائیلی Check Point گفت: «اکنون دنبال سوزن در انبار کاه گشتن و کشف سرور‌های C&C واقعی در میان هزاران دامنه قانونی که توسط Xloader به عنوان رد گم‌کنی استفاده می‌شود، بسیار سخت‌تر است».

بدافزار XLoader برای اولین بار در اکتبر ۲۰۲۰ در فضای مشاهده شد که اساساً جانشین Formbook و یک دزد اطلاعات بین پلتفرمی است که می‌تواند اعتبارنامه‌های مرورگر‌های وب را غارت کند، کلید‌های ورودی را ضبط کند و اسکرین شات بگیرد، و دستورات و payload‌های دلخواه را اجرا کند.

اخیراً، درگیری‌های ژئوپلیتیکی بین روسیه و اوکراین به‌عنوان یک خوراک پرسود برای توزیع XLoader از طریق‌ایمیل‌های فیشینگ با هدف مقامات بلندپایه دولتی در اوکراین تبدیل شده است.

آخرین یافته‌های Check Point بر اساس گزارش قبلی Zscaler در ژانویه ۲۰۲۲ است که عملکرد داخلی پروتکل رمزگذاری و ارتباطی شبکه C&C (یا C2) بدافزار را نشان می‌دهد و به استفاده از سرور‌های فریبنده برای پنهان کردن سرور قانونی و فرار از سیستم‌های تجزیه و تحلیل بدافزار اشاره می‌کند.
takian.ir new xloader botnet version using probability theory to hide its cc Servers 2
محققان توضیح دادند: "ارتباطات C2 با دامنه‌های فریب و سرور واقعی C2، از جمله ارسال داده‌های سرقت شده از قربانی انجام می‌شود. بنابراین، این احتمال وجود دارد که یک C2 پشتیبان بتواند در دامنه‌های C2 فریبنده پنهان شود و در صورت حذف دامنه C2 اولیه، به عنوان یک کانال ارتباطی بازگشتی استفاده شود".

مخفی بودن از این واقعیت ناشی می‌شود که نام دامنه برای سرور واقعی C&C در کنار پیکربندی حاوی ۶۴ دامنه فریبنده پنهان شده است که از بین آن‌ها ۱۶ دامنه به طور تصادفی انتخاب می‌شود و به دنبال آن دو مورد از آن ۱۶ با آدرس C&C جعلی و آدرس معتبر جایگزین می‌شود.

آنچه در نسخه‌های جدید XLoader تغییر کرده این است که پس از انتخاب ۱۶ دامنه فریبنده از پیکربندی، هشت دامنه اول با مقادیر تصادفی جدید قبل از هر چرخه ارتباطی بازنویسی می‌شوند و در عین حال اقداماتی برای اسکیپ کردن دامنه واقعی انجام می‌شود.

علاوه بر این، XLoader 2.5 سه مورد از دامنه‌های موجود در لیست ایجاد شده را با دو آدرس سرور فریبنده و دامنه سرور C&C واقعی جایگزین می‌کند. هدف نهایی جلوگیری از شناسایی سرور C&C واقعی بر اساس تأخیر بین دسترسی به دامنه‌ها است.

این واقعیت که نویسندگان بدافزار برای دسترسی به سرور قانونی به اصول تئوری احتمال متوسل شده‌اند، یک بار دیگر نشان می‌دهد که چگونه عوامل تهدید به طور مداوم تاکتیک‌های خود را برای پیشبرد اهداف شوم خود تقویت می‌کنند.

محققان Check Point می‌گویند: «این اصلاحات به دو هدف به طور همزمان دست می‌یابند: هر نود در حالی که اسکریپت‌های خودکار را فریب می‌دهد، در بات‌نت نرخ بازگشت ثابتی را حفظ می‌کند و دوما از کشف سرور‌های C&C واقعی جلوگیری می‌کند. »

برچسب ها: C2, C&C, Domain, دامنه, Zscaler, XLoader, Formbook, سرور, Server, cybersecurity, phishing, malware, ransomware , Cyber Security, Botnet, بات نت, فیشینگ, Check Point, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ