新的 XLoader 僵尸网络使用概率论隐藏其服务器

admin 2022年6月2日00:16:07安全新闻评论8 views2138字阅读7分7秒阅读模式

新的 XLoader 僵尸网络使用概率论隐藏其服务器


新的 XLoader 僵尸网络使用概率论隐藏其服务器

1

PART

安全资讯



Hive 勒索软件团伙袭击了哥斯达黎加的公共卫生服务


      据 BleepingComputer 报道,哥斯达黎加的公共卫生服务机构哥斯达黎加社会保障基金(又名 CCCS)今天遭到 Hive 勒索软件攻击。攻击发生在今天凌晨,即 2022 年 5 月 31 日,星期二。当局正在调查安全漏洞,但公共卫生服务部门证实,攻击并未影响 EDUS(统一数字健康)和 SICERE(集中税收征收系统) ) 数据库,它还补充说,该事件并未影响工资和养老金服务。

来源:securityaffairs.co



超过 360 万台 MySQL 服务器被发现暴露在互联网上

在上周网络安全研究组织 Shadowserver Foundation 进行的扫描中,分析师发现 360 万台暴露的 MySQL 服务器使用默认端口 TCP 端口 3306。“虽然我们不检查可能的访问级别或特定数据库的暴露程度,但这种暴露是应该关闭的潜在攻击面,” Shadow Server的报告解释道。 拥有最多访问 MySQL 服务器的国家是美国,超过 120 万台。其他数量庞大的国家是中国、德国、新加坡、荷兰和波兰。

来源:bleepingcomputer




大利亚养老金提供商Spirit Super数据泄露

      据外网报道,澳大利亚养老金提供商 Spirit Super 被网络钓鱼攻击导致一些个人信息被泄露。Spirit Super证实,在员工的电子邮件账户被窃取后,用户数据于 2022 年 5 月 19 日遭到泄露,其中包括姓名和其他敏感信息,大约有 50,000 人受到影响。Spirit Super 表示正在进行彻底调查,采取预防措施,进一步加强 IT 安全并降低未来网络事件的风险。

来源:安全419


最新漏洞通报
02
PART

01


D-LINK DIR-825 AC1200 R2目录遍历漏洞




D-LINK DIR-825 AC1200 R2是中国友讯(D-LINK)公司的一款路由器。D-LINK DIR-825 AC1200 R2存在目录遍历漏洞,该漏洞源于在处理目录请求时的路径缺乏有效性检查,攻击者可利用该漏洞访问访问整个路由器文件系统。

来源:CNVD

02




Tenda AX12缓冲区溢出漏洞




Tenda AX12是中国腾达(Tenda)公司的一款双频千兆Wifi 6无线路由Tenda AX12存在缓冲区溢出漏洞,攻击者可利用该漏洞导致堆栈溢出。

来源:CNVD

03


Adobe Photoshop输入验证错误漏洞




Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。Adobe Photoshop存在输入验证错误漏洞。攻击者可利用漏洞在当前用户的上下文中执行任意代码。

来源:CNVD


03
PART

威胁情报


01

新的 XLoader 僵尸网络使用概率论隐藏其服务器


新的 XLoader 僵尸网络使用概率论隐藏其服务器

 

威胁分析人员发现了新版本的 XLoader 僵尸网络恶意软件,该恶意软件使用概率论隐藏其命令和控制服务器,从而难以破坏恶意软件的运行。

这有助于恶意软件运营商继续使用相同的基础设施,而不会因已识别的 IP 地址上的阻塞而丢失节点的风险,同时还减少了被跟踪和识别的机会。

XLoader 是一个信息窃取 器,最初基于 Formbook,针对 Windows 和 macOS 操作系统。它于 2021 年 1 月首次进入广泛部署。

Check Point 的研究人员一直在跟踪恶意软件的演变,他们对最新的 XLoader 版本 2.5 和 2.6 进行了采样和分析,并发现了与以前版本相比的一些关键差异。

大数定律

XLoader 已经在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。

新的 XLoader 僵尸网络使用概率论隐藏其服务器

在 63 个诱饵中隐藏实际域 (检查点)

不过,在最新版本中,Check Point 的分析师注意到,恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

新的 XLoader 僵尸网络使用概率论隐藏其服务器

覆盖列表中的随机域 (CheckPoint)

“如果真正的 C&C 域出现在列表的第二部分,它会在每个周期中大约每 80-90 秒访问一次。如果它出现在列表的第一部分,它将被另一个随机域名覆盖,” CheckPoint 解释道。

“覆盖列表第一部分的八个域是随机选择的,真正的 C&C 域可能就是其中之一。在这种情况下,真正的 C&C 服务器在下一个周期被访问的概率是 7/64 或 1/8,具体取决于“fake c2(2)”域的位置。”

这有助于从安全分析师那里伪装真正的 C2 服务器,同时将对恶意软件操作的影响降至最低。

成功的 C2 访问源于大数定律,这增加了在足够多的试验下获得预期结果的概率。

正如 CheckPoint 通过下表解释的那样,威胁分析人员必须执行冗长的仿真才能得出实际的 C2 地址,这是一种非典型做法,会使所有自动化脚本都无用。

新的 XLoader 僵尸网络使用概率论隐藏其服务器

概率表(检查点)

同时,对于恶意软件操作者而言,XLoader 不太可能在感染后一小时不联系真正的 C2 地址。

在 2.6 版中,CheckPoint 注意到 XLoader 从 64 位版本的有效负载中删除了此功能,恶意软件每次都会联系真正的 C2 域。

但是,在威胁分析人员使用的虚拟机托管沙箱中非常常见的 32 位系统中,XLoader 维护了新的 C2 混淆。

来源:bleepingcomputer



新的 XLoader 僵尸网络使用概率论隐藏其服务器
END
新的 XLoader 僵尸网络使用概率论隐藏其服务器


扫码关注我们

数据安全能力引领者!

原文始发于微信公众号(云知云享):新的 XLoader 僵尸网络使用概率论隐藏其服务器

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日00:16:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  新的 XLoader 僵尸网络使用概率论隐藏其服务器 http://cn-sec.com/archives/1078063.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: