使用概率理论隐藏C&C服务器的新XLoader僵尸网络版本

根据最新研究，已发现XLoader恶意软件的增强版采用基于概率的方法伪装其指挥与控制（C&C）基础设施。

以色列网络安全公司Check Point表示：“现在，在Xloader用作烟幕的数千个合法域名中，要想分清界限，发现真正的C&C服务器要困难得多。”

XLoader于2020年10月首次在野外发现，它是Formbook的继承者，是一个跨平台信息窃取者，能够从web浏览器中窃取凭据，捕获击键和屏幕截图，并执行任意命令和有效载荷。

最近，俄罗斯和乌克兰之间持续的地缘政治冲突被证明是通过针对乌克兰高级政府官员的网络钓鱼电子邮件分发XLoader的有利可图的素材。

研究人员解释说：“C2通信与诱饵域和真实的C2服务器进行，包括从受害者那里发送被盗数据”。因此，有可能在诱饵C2域中隐藏一个备份C2，并在主C2域被取下时用作回退通信信道。

这种隐秘性来自于真实的域名；C服务器隐藏在包含64个诱饵域的配置旁边，从中随机挑选16个域，然后用假域替换其中的两个域；C地址和真实地址。

较新版本的XLoader的变化是，在从配置中选择16个诱饵域后，在每个通信周期之前，前8个域将被新的随机值覆盖，同时采取步骤跳过真实域。

此外，XLoader 2.5 将创建列表中的三个域替换为两个诱饵服务器地址和真正的 C&C 服务器域。最终目标是根据对域的访问之间的延迟来防止检测到真正的 C&C 服务器。

恶意软件作者利用概率论原理访问合法服务器的事实再次表明，威胁行为人如何不断微调其策略，以进一步实现其邪恶目标。

Check Point研究人员表示：“这些修改一次可以实现两个目标：僵尸网络中的每个节点都保持稳定的击退率，同时愚弄自动脚本，阻止发现真正的C&C服务器”。