更新的XLoader僵尸网络恶意软件分析
更新的 XLoader 僵尸网络利用概率理论隐藏服务器
关键要点
XLoader 僵尸网络使用概率理论来更好地隐藏其指挥控制服务器。新版本25 和 26可以覆盖配置列表中的域名,提高隐蔽性。研究表明,实际的控制服务器在不同位置出现时,被访问的概率有显著差异。根据 BleepingComputer 的报道,威胁行为者已更新了 XLoader 僵尸网络的恶意软件,以利用概率理论来更好地隐藏其指挥控制服务器,而无需更改基础设施。XLoader 信息窃取器基于 Formbook,能够通过将实际域名伪装在 63 个诱饵中来隐藏其 C2。在 23 版本中,这一策略得到了应用,但在更新的 25 和 26 版本中,恶意软件可以覆盖配置列表中的 64 个域名中的 8 个。
根据 Check Point 的报告:“如果真实的 CampC 域名出现在列表的后半部分,每个周期大约会在 8090 秒内访问一次。如果它在列表的前半部分出现,它将会被另一个随机域名覆盖覆盖列表前半部分的 8 个域名是随机选择的,真实的 CampC 域名可能会是其中之一。在这种情况下,在下一个周期访问真实 CampC 服务器的概率为 7/64 或 1/8,具体取决于 fake c2 (2) 域名的位置。”研究人员指出,这一机制使得 XLoader 在进行恶意活动时更难被追踪。
安易免费加速器
通过这种创新的方式,XLoader 僵尸网络在信息窃取和其他恶意活动中更加难以察觉。这提示我们,网络安全的威胁在不断发展,防范措施需要与时俱进以应对新兴的挑战。
