Versi Botnet XLoader Baru Menggunakan Teori Probabilitas untuk Menyembunyikan Server C&C-nya

  • Bagikan
XLoader Botnet

Beritaini.top Versi Botnet XLoader Baru Menggunakan Teori Probabilitas untuk Menyembunyikan Server C&C-nya

XLloader Botnet

Versi malware XLoader yang disempurnakan telah terlihat mengadopsi pendekatan berbasis probabilitas untuk menyamarkan infrastruktur command-and-control (C&C), menurut penelitian terbaru.

“Sekarang jauh lebih sulit untuk memisahkan gandum dari sekam dan menemukan server C&C yang sebenarnya di antara ribuan domain sah yang digunakan oleh Xloader sebagai tabir asap,” perusahaan keamanan siber Israel Check Point dikatakan.

Pertama kali terlihat di alam liar pada Oktober 2020, XLoader adalah penerus Formbook dan pencuri informasi lintas platform yang mampu menjarah kredensial dari browser web, menangkap penekanan tombol dan tangkapan layar, dan menjalankan perintah dan muatan sewenang-wenang.

Keamanan cyber

Baru-baru ini, konflik geopolitik yang sedang berlangsung antara Rusia dan Ukraina telah terbukti menjadi makanan yang menguntungkan bagi mendistribusikan XLoader melalui email phising ditujukan untuk pejabat tinggi pemerintah di Ukraina.

Temuan terbaru dari Check Point dibangun berdasarkan laporan sebelumnya dari Zscaler pada Januari 2022, yang mengungkapkan cara kerja bagian dalam dari enkripsi jaringan dan protokol komunikasi C&C (atau C2) malware, mencatat penggunaan server umpan untuk menyembunyikan server yang sah dan menghindari sistem analisis malware.

XLloader Botnet

“Komunikasi C2 terjadi dengan domain umpan dan server C2 yang sebenarnya, termasuk mengirim data curian dari korban,” para peneliti menjelaskan. “Jadi, ada kemungkinan bahwa C2 cadangan dapat disembunyikan di domain C2 umpan dan digunakan sebagai saluran komunikasi cadangan jika domain C2 utama dihapus.”

Kerahasiaan ini berasal dari fakta bahwa nama domain untuk server C&C asli disembunyikan di samping konfigurasi yang berisi 64 domain umpan, dari mana 16 domain dipilih secara acak, diikuti dengan mengganti dua dari 16 domain tersebut dengan alamat C&C palsu dan alamat asli.

Keamanan cyber

Apa yang berubah di versi XLoader yang lebih baru adalah bahwa setelah pemilihan 16 domain umpan dari konfigurasi, delapan domain pertama ditimpa dengan nilai acak baru sebelum setiap siklus komunikasi sambil mengambil langkah untuk melewati domain sebenarnya.

Selain itu, XLoader 2.5 menggantikan tiga domain dalam daftar yang dibuat dengan dua alamat server umpan dan domain server C&C yang sebenarnya. Tujuan utamanya adalah untuk mencegah deteksi server C&C yang sebenarnya, berdasarkan penundaan antara akses ke domain.

Fakta bahwa pembuat malware telah menggunakan prinsip teori probabilitas untuk mengakses server yang sah sekali lagi menunjukkan bagaimana pelaku ancaman terus-menerus menyempurnakan taktik mereka untuk mencapai tujuan jahat mereka.

“Modifikasi ini mencapai dua tujuan sekaligus: setiap node di botnet mempertahankan tingkat knockback yang stabil sambil membodohi skrip otomatis dan mencegah penemuan server C&C yang sebenarnya,” kata peneliti Check Point.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.