إصدار بوتنت XLoader الجديد يستخدم نظرية الاحتمالية لإخفاء خوادم القيادة والسيطرة الخاصة به
تم رصد نسخة محسّنة من البرنامج الضار XLoader تتبنى نهجًا قائمًا على الاحتمالات لتمويه البنية التحتية للقيادة والتحكم (C&C) ، وفقًا لأحدث الأبحاث.
وقالت شركة الأمن السيبراني تشيك بوينت “أصبح من الصعب الآن فصل القمح عن القشر واكتشاف خوادم القيادة والسيطرة الحقيقية بين آلاف المجالات الشرعية التي تستخدمها Xloader كستار دخان “ .
تم اكتشاف XLoader لأول مرة في البرية في أكتوبر 2020 ، وهو خليفة لـ Formbook وسارق معلومات عبر الأنظمة الأساسية قادر على نهب بيانات الاعتماد من متصفحات الويب ، والتقاط ضغطات المفاتيح ولقطات الشاشة ، وتنفيذ الأوامر والحمولات التعسفية.
في الآونة الأخيرة ، أثبت الصراع الجيوسياسي المستمر بين روسيا وأوكرانيا أنه علف مربح لتوزيع XLoader عن طريق رسائل البريد الإلكتروني التصيدية التي تستهدف كبار المسؤولين الحكوميين في أوكرانيا.
تستند أحدث النتائج من Check Point إلى تقرير سابق من Zscaler في يناير 2022 ، والذي كشف عن الأعمال الداخلية لبروتوكول تشفير واتصال شبكة C&C (أو C2) الخاص بالبرامج الضارة ، مشيرًا إلى استخدامه لخوادم شرك لإخفاء الخادم الشرعي والتهرب من البرامج الضارة. أنظمة التحليل.
وأوضح الباحثون أن “اتصالات C2 تحدث مع مجالات شرك وخادم C2 الحقيقي ، بما في ذلك إرسال بيانات مسروقة من الضحية”. “وبالتالي ، هناك احتمال لإخفاء نسخة احتياطية C2 في مجالات شرك C2 واستخدامها كقناة اتصال احتياطية في حالة إزالة مجال C2 الأساسي.”
يأتي التخفي من حقيقة أن اسم المجال لخادم C&C الحقيقي مخفي جنبًا إلى جنب مع تكوين يحتوي على 64 نطاقًا خادعًا ، يتم اختيار 16 نطاقًا منها بشكل عشوائي ، متبوعًا باستبدال اثنين من هذه المجالات الـ 16 بعنوان C&C المزيف والعنوان الأصلي.
ما تم تغييره في الإصدارات الأحدث من XLoader هو أنه بعد اختيار 16 مجالًا فخًا من التكوين ، تتم الكتابة فوق المجالات الثمانية الأولى بقيم عشوائية جديدة قبل كل دورة اتصال أثناء اتخاذ خطوات لتخطي المجال الحقيقي.
بالإضافة إلى ذلك ، يستبدل XLoader 2.5 ثلاثة من المجالات في القائمة التي تم إنشاؤها بعناوين خادم شرك ونطاق خادم C&C الحقيقي. الهدف النهائي هو منع اكتشاف خادم القيادة والتحكم الحقيقي ، بناءً على التأخيرات بين عمليات الوصول إلى المجالات.
حقيقة أن مؤلفي البرمجيات الخبيثة قد لجأوا إلى مبادئ نظرية الاحتمالات للوصول إلى الخادم الشرعي مرة أخرى يوضح كيف يقوم المهاجمون باستمرار بضبط تكتيكاتهم لتعزيز أهدافهم الشائنة.
قال باحثو Check Point: “تحقق هذه التعديلات هدفين في وقت واحد: تحافظ كل عقدة في الروبوتات على معدل عودة ثابت بينما تخدع البرامج النصية الآلية وتمنع اكتشاف خوادم C & C الحقيقية”.
إرسال التعليق