【安全资讯】XLoader僵尸网络使用新技巧隐藏C2服务器

猎影实验室 2022-06-01 02:59:57 2093人浏览

新版本的 XLoader 僵尸网络恶意软件使用新技术隐藏其命令和控制服务器,从而规避研究人员的检测。XLoader在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。而在最新版本中,恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

 

 

覆盖列表第一部分的八个域是随机选择的,真正的 C&C 域可能就是其中之一。在这种情况下,真正的 C&C 服务器在下一个周期被访问的概率是 7/64 或 1/8,具体取决于“fake c2(2)”域的位置。这有助于伪装真正的 C2 服务器,威胁分析人员必须执行冗长的仿真才能得出实际的 C2 地址。

覆盖列表中的随机域

失陷指标(IOC)185
XLoader 僵尸网络Botnet
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。