Исследователи Check Point расчехлили последние образцы новых версий XLoader 2.5 и 2.6, которые оказались заряжены важным функционалом, затрудняющим отслеживание и идентификацию вредоносной ПО.
Предназначенный для кражи информации и задетектированный в январе 2021 года кросс-платформенный ботнет XLoader изначально базировался на Formbook и нацелен на ОС Windows и macOS. Впервые он поступил в широкое распространение в январе 2021 года.
Новая версия использует основы теории вероятности для сокрытия С2, что придают малварю значительную стабильность в работе, а операторы получают возможность использовать инфраструктуру без риска утраты узлов, избегая блокировок раскрытых IP-адресов.
Подобная система маскировки фактических серверов управления и контроля (C2) была заложена в версии 2.3, скрывая реальное доменное имя в конфигурации, включающей 63 ложных значения.
Но в последних версиях аналитики Check Point установили, что вредоносное ПО производит перезапись 8 значений из списка случайно выбранных доменов из списке конфигурации, включающего 64 значения, новыми при каждой иттерации установления связи.
Получается, что если реальный C2-домен находится во второй части списка, то XLoader однократно обращается к нему в каждом цикле в 80-90 секунд. Появляясь в первой части списка, значение будет перезаписано другим случайным доменным именем.
Восемь доменов, которые перезаписывают первую часть списка, отбираются случайным образом, и настоящий домен C2 может быть одним из них, формируя вероятность 7/64 или 1/8 обращения к реальному серверу на следующем цикле в зависимости от расположения подставного домена.
Check Point заметили, что в XLoader 2.6 новая обфускация C2 не поддерживается для 64-битной версии полезной нагрузки, в которой малварь каждый раз связывается с реальным доменом C2, что объясняется высоким распространением 32-разрядных систем в песочницах применяемых для анализа виртуальных машин.
В целом, новая техника помогает надежно спрятать реальные C2 от обнаружения ресерчерами, которым потребуется больше времени для тестов и попыток эмуляций, чтобы гарантированно идентифицировать фактический адрес, что также значительно снижает эффективность всех автоматизированных сценариев.
С другой стороны, вряд ли операторы будут выжидать часами в ожидании связи с C2 после заражения. Но будем посмотреть.
• Source: https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/
Предназначенный для кражи информации и задетектированный в январе 2021 года кросс-платформенный ботнет XLoader изначально базировался на Formbook и нацелен на ОС Windows и macOS. Впервые он поступил в широкое распространение в январе 2021 года.
Новая версия использует основы теории вероятности для сокрытия С2, что придают малварю значительную стабильность в работе, а операторы получают возможность использовать инфраструктуру без риска утраты узлов, избегая блокировок раскрытых IP-адресов.
Подобная система маскировки фактических серверов управления и контроля (C2) была заложена в версии 2.3, скрывая реальное доменное имя в конфигурации, включающей 63 ложных значения.
Но в последних версиях аналитики Check Point установили, что вредоносное ПО производит перезапись 8 значений из списка случайно выбранных доменов из списке конфигурации, включающего 64 значения, новыми при каждой иттерации установления связи.
Получается, что если реальный C2-домен находится во второй части списка, то XLoader однократно обращается к нему в каждом цикле в 80-90 секунд. Появляясь в первой части списка, значение будет перезаписано другим случайным доменным именем.
Восемь доменов, которые перезаписывают первую часть списка, отбираются случайным образом, и настоящий домен C2 может быть одним из них, формируя вероятность 7/64 или 1/8 обращения к реальному серверу на следующем цикле в зависимости от расположения подставного домена.
Check Point заметили, что в XLoader 2.6 новая обфускация C2 не поддерживается для 64-битной версии полезной нагрузки, в которой малварь каждый раз связывается с реальным доменом C2, что объясняется высоким распространением 32-разрядных систем в песочницах применяемых для анализа виртуальных машин.
В целом, новая техника помогает надежно спрятать реальные C2 от обнаружения ресерчерами, которым потребуется больше времени для тестов и попыток эмуляций, чтобы гарантированно идентифицировать фактический адрес, что также значительно снижает эффективность всех автоматизированных сценариев.
С другой стороны, вряд ли операторы будут выжидать часами в ожидании связи с C2 после заражения. Но будем посмотреть.
• Source: https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/