Bot XLoader baru menggunakan teori probabilitas untuk menyembunyikan server mereka

Halo sobat TanyaTekno, jumpa kembali kita di artikel ini. Di artikel ini saya akan mengkaji Bot XLoader baru menggunakan teori probabilitas untuk menyembunyikan server mereka

Analis ancaman telah menemukan versi baru malware botnet XLoader yang menggunakan teori probabilitas untuk menutupi server perintah dan kontrol, sehingga sulit untuk mengganggu operasi malware.

Ini membantu operator malware untuk terus menggunakan infrastruktur yang sama tanpa risiko kehilangan node karena pemblokiran alamat IP tertentu sekaligus mengurangi peluang untuk pelacakan dan identifikasi.

XLoader adalah alat pencurian informasi yang awalnya didasarkan pada Formbook, menargetkan sistem operasi Windows dan macOS. Ini pertama kali menjadi populer pada Januari 2021.

Para peneliti di Check Point, yang telah mengikuti evolusi malware, mengambil sampel dan menganalisis versi terbaru XLoader 2.5 dan 2.6 dan menemukan beberapa perbedaan penting dibandingkan dengan versi sebelumnya.

Hukum Bilangan Besar

XLoader sebenarnya menyamarkan server C2 yang sebenarnya di versi 2.3 dengan menutupi nama domain asli dalam konfigurasi yang mencakup 63 umpan.

Sembunyikan bidang nyata di antara 63 perusahaan
Sembunyikan bidang sebenarnya di antara 63 perusahaan (titik pemeriksaan)

Meskipun demikian, analis Check Point telah memperhatikan dalam versi terbaru bahwa malware menggantikan 8 dari daftar 64 domain yang dipilih secara acak dalam daftar konfigurasinya dengan nilai baru pada setiap upaya koneksi.

Timpa domain acak dalam daftar
Timpa domain acak dalam daftar (titik pemeriksaan)

“Jika domain C&C nyata muncul di bagian kedua daftar, itu akan diakses per siklus kira-kira sekali setiap 80-90 detik. Jika muncul di bagian pertama daftar, itu akan diganti dengan nama domain acak lainnya, CheckPoint menjelaskan.

“Delapan domain yang menimpa bagian pertama dari daftar dipilih secara acak, dan domain C&C yang sebenarnya mungkin salah satunya. Dalam hal ini, probabilitas mengenai server C&C yang sebenarnya pada siklus berikutnya adalah 7/64 atau 1/ 8 tergantung pada posisi Domain “fake c2 (2).”

Ini membantu menyembunyikan server C2 asli dari analis keamanan sambil menjaga dampak pada operasi malware seminimal mungkin.

Akses yang berhasil ke C2 dihasilkan dari hukum bilangan besar, yang meningkatkan kemungkinan memperoleh hasil yang diharapkan di bawah uji coba yang cukup.

Seperti yang ditunjukkan oleh CheckPoint melalui tabel berikut, analis ancaman harus menjalankan simulasi yang panjang untuk mendapatkan alamat C2 yang sebenarnya, yang merupakan praktik yang tidak lazim dan membuat semua skrip otomatis tidak berguna.

tabel peluang
tabel peluang (titik pemeriksaan)

Sementara itu, untuk operator malware, XLoader kemungkinan tidak akan terhubung ke alamat C2 asli satu jam setelah infeksi.

Di versi 2.6, CheckPoint memperhatikan bahwa XLoader menghapus fungsionalitas ini dari versi 64-bit payload, karena malware menghubungi domain C2 yang sebenarnya setiap saat.

Namun, pada sistem 32-bit, yang sangat umum di kotak pasir virtual yang dihosting perangkat keras yang digunakan oleh analis ancaman, XLoader mempertahankan kebingungan C2 yang baru.

Demikianlah uraianmengenai Bot XLoader baru menggunakan teori probabilitas untuk menyembunyikan server mereka

. Jangan Lupa untuk
berbagi artikel ini ya sobat.

Rujukan Artikel