Notice: _load_textdomain_just_in_time تمّ استدعائه بشكل غير صحيح. Translation loading for the newsblogger domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. من فضلك اطلع على تنقيح الأخطاء في ووردبريس لمزيد من المعلومات. (هذه الرسالة تمّت إضافتها في النسخة 6.7.0.) in /home/alkrsan/public_html/wp-includes/functions.php on line 6114

Notice: _load_textdomain_just_in_time تمّ استدعائه بشكل غير صحيح. Translation loading for the newscrunch domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. من فضلك اطلع على تنقيح الأخطاء في ووردبريس لمزيد من المعلومات. (هذه الرسالة تمّت إضافتها في النسخة 6.7.0.) in /home/alkrsan/public_html/wp-includes/functions.php on line 6114

خطأ فى قاعدة بيانات ووردبريس: [Table 'alkrsan_d01r4.wkp_wf_sn_cf_bl_ips' doesn't exist]
SELECT tid FROM `wkp_wf_sn_cf_bl_ips` WHERE ip = '18.97.9.173'

خطأ فى قاعدة بيانات ووردبريس: [Table 'alkrsan_d01r4.wkp_wf_sn_cf_vl' doesn't exist]
SHOW FULL COLUMNS FROM `wkp_wf_sn_cf_vl`

إصدار بوتنت XLoader الجديد يستخدم نظرية الاحتمالية لإخفاء خوادم القيادة والسيطرة الخاصة به – شبكة القرصان

إصدار بوتنت XLoader الجديد يستخدم نظرية الاحتمالية لإخفاء خوادم القيادة والسيطرة الخاصة به

تم رصد نسخة محسّنة من البرنامج الضار XLoader تتبنى نهجًا قائمًا على الاحتمالات لتمويه البنية التحتية للقيادة والتحكم (C&C) ، وفقًا لأحدث الأبحاث.

وقالت شركة الأمن السيبراني تشيك بوينت “أصبح من الصعب الآن فصل القمح عن القشر واكتشاف خوادم القيادة والسيطرة الحقيقية بين آلاف المجالات الشرعية التي تستخدمها Xloader كستار دخان .

تم اكتشاف XLoader لأول مرة في البرية في أكتوبر 2020 ، وهو خليفة لـ Formbook وسارق معلومات عبر الأنظمة الأساسية قادر على نهب بيانات الاعتماد من متصفحات الويب ، والتقاط ضغطات المفاتيح ولقطات الشاشة ، وتنفيذ الأوامر والحمولات التعسفية.

في الآونة الأخيرة ، أثبت الصراع الجيوسياسي المستمر بين روسيا وأوكرانيا أنه علف مربح لتوزيع XLoader عن طريق رسائل البريد الإلكتروني التصيدية التي تستهدف كبار المسؤولين الحكوميين في أوكرانيا.

تستند أحدث النتائج من Check Point إلى تقرير سابق من Zscaler في يناير 2022 ، والذي كشف عن الأعمال الداخلية لبروتوكول تشفير واتصال شبكة C&C (أو C2) الخاص بالبرامج الضارة ، مشيرًا إلى استخدامه لخوادم شرك لإخفاء الخادم الشرعي والتهرب من البرامج الضارة. أنظمة التحليل.

XLoader Botnet

وأوضح الباحثون أن “اتصالات C2 تحدث مع مجالات شرك وخادم C2 الحقيقي ، بما في ذلك إرسال بيانات مسروقة من الضحية”. “وبالتالي ، هناك احتمال لإخفاء نسخة احتياطية C2 في مجالات شرك C2 واستخدامها كقناة اتصال احتياطية في حالة إزالة مجال C2 الأساسي.”

يأتي التخفي من حقيقة أن اسم المجال لخادم C&C الحقيقي مخفي جنبًا إلى جنب مع تكوين يحتوي على 64 نطاقًا خادعًا ، يتم اختيار 16 نطاقًا منها بشكل عشوائي ، متبوعًا باستبدال اثنين من هذه المجالات الـ 16 بعنوان C&C المزيف والعنوان الأصلي.

ما تم تغييره في الإصدارات الأحدث من XLoader هو أنه بعد اختيار 16 مجالًا فخًا من التكوين ، تتم الكتابة فوق المجالات الثمانية الأولى بقيم عشوائية جديدة قبل كل دورة اتصال أثناء اتخاذ خطوات لتخطي المجال الحقيقي.

بالإضافة إلى ذلك ، يستبدل XLoader 2.5 ثلاثة من المجالات في القائمة التي تم إنشاؤها بعناوين خادم شرك ونطاق خادم C&C الحقيقي. الهدف النهائي هو منع اكتشاف خادم القيادة والتحكم الحقيقي ، بناءً على التأخيرات بين عمليات الوصول إلى المجالات.

حقيقة أن مؤلفي البرمجيات الخبيثة قد لجأوا إلى مبادئ نظرية الاحتمالات للوصول إلى الخادم الشرعي مرة أخرى يوضح كيف يقوم المهاجمون باستمرار بضبط تكتيكاتهم لتعزيز أهدافهم الشائنة.

قال باحثو Check Point: “تحقق هذه التعديلات هدفين في وقت واحد: تحافظ كل عقدة في الروبوتات على معدل عودة ثابت بينما تخدع البرامج النصية الآلية وتمنع اكتشاف خوادم C & C الحقيقية”.

إرسال التعليق