新的 XLoader 僵尸网络使用概率论隐藏其服务器

      据 BleepingComputer 报道，哥斯达黎加的公共卫生服务机构哥斯达黎加社会保障基金（又名 CCCS）今天遭到 Hive 勒索软件攻击。攻击发生在今天凌晨，即 2022 年 5 月 31 日，星期二。当局正在调查安全漏洞，但公共卫生服务部门证实，攻击并未影响 EDUS（统一数字健康）和 SICERE（集中税收征收系统） ) 数据库，它还补充说，该事件并未影响工资和养老金服务。

来源：securityaffairs.co

在上周网络安全研究组织 Shadowserver Foundation 进行的扫描中，分析师发现 360 万台暴露的 MySQL 服务器使用默认端口 TCP 端口 3306。“虽然我们不检查可能的访问级别或特定数据库的暴露程度，但这种暴露是应该关闭的潜在攻击面，” Shadow Server的报告解释道。 拥有最多访问 MySQL 服务器的国家是美国，超过 120 万台。其他数量庞大的国家是中国、德国、新加坡、荷兰和波兰。

来源：bleepingcomputer

      据外网报道，澳大利亚养老金提供商 Spirit Super 被网络钓鱼攻击导致一些个人信息被泄露。Spirit Super证实，在员工的电子邮件账户被窃取后，用户数据于 2022 年 5 月 19 日遭到泄露，其中包括姓名和其他敏感信息，大约有 50,000 人受到影响。Spirit Super 表示正在进行彻底调查，采取预防措施，进一步加强 IT 安全并降低未来网络事件的风险。

来源：安全419

D-LINK DIR-825 AC1200 R2是中国友讯（D-LINK）公司的一款路由器。D-LINK DIR-825 AC1200 R2存在目录遍历漏洞，该漏洞源于在处理目录请求时的路径缺乏有效性检查，攻击者可利用该漏洞访问访问整个路由器文件系统。

来源：CNVD

Tenda AX12是中国腾达（Tenda）公司的一款双频千兆Wifi 6无线路由Tenda AX12存在缓冲区溢出漏洞，攻击者可利用该漏洞导致堆栈溢出。

来源：CNVD

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。Adobe Photoshop存在输入验证错误漏洞。攻击者可利用漏洞在当前用户的上下文中执行任意代码。

来源：CNVD

威胁分析人员发现了新版本的 XLoader 僵尸网络恶意软件，该恶意软件使用概率论隐藏其命令和控制服务器，从而难以破坏恶意软件的运行。

这有助于恶意软件运营商继续使用相同的基础设施，而不会因已识别的 IP 地址上的阻塞而丢失节点的风险，同时还减少了被跟踪和识别的机会。

XLoader 是一个信息窃取 器，最初基于 Formbook，针对 Windows 和 macOS 操作系统。它于 2021 年 1 月首次进入广泛部署。

Check Point 的研究人员一直在跟踪恶意软件的演变，他们对最新的 XLoader 版本 2.5 和 2.6 进行了采样和分析，并发现了与以前版本相比的一些关键差异。

大数定律

XLoader 已经在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。

在 63 个诱饵中隐藏实际域 （检查点）

不过，在最新版本中，Check Point 的分析师注意到，恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

覆盖列表中的随机域 (CheckPoint)

“如果真正的 C&C 域出现在列表的第二部分，它会在每个周期中大约每 80-90 秒访问一次。如果它出现在列表的第一部分，它将被另一个随机域名覆盖，” CheckPoint 解释道。

“覆盖列表第一部分的八个域是随机选择的，真正的 C&C 域可能就是其中之一。在这种情况下，真正的 C&C 服务器在下一个周期被访问的概率是 7/64 或 1/8，具体取决于“fake c2(2)”域的位置。”

这有助于从安全分析师那里伪装真正的 C2 服务器，同时将对恶意软件操作的影响降至最低。

成功的 C2 访问源于大数定律，这增加了在足够多的试验下获得预期结果的概率。

正如 CheckPoint 通过下表解释的那样，威胁分析人员必须执行冗长的仿真才能得出实际的 C2 地址，这是一种非典型做法，会使所有自动化脚本都无用。

概率表（检查点）

同时，对于恶意软件操作者而言，XLoader 不太可能在感染后一小时不联系真正的 C2 地址。

在 2.6 版中，CheckPoint 注意到 XLoader 从 64 位版本的有效负载中删除了此功能，恶意软件每次都会联系真正的 C2 域。

但是，在威胁分析人员使用的虚拟机托管沙箱中非常常见的 32 位系统中，XLoader 维护了新的 C2 混淆。

来源：bleepingcomputer

END