СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
14 февраля
#Dev#ИБ#Инфра

Xloader: Новые методы уклонения и шифрования в вредоносных программах

Xloader: Новые методы уклонения и шифрования в вредоносных программах

Источник: www.zscaler.com

В последние годы киберугрозы становятся все более сложными и трудными для обнаружения. Один из свежих примеров — вредоносная программа Xloader, которая значительно усовершенствована по сравнению со своими предшественниками. Версии 6 и 7 этого ПО используют сложные методы обфускации для маскировки кода управления, что усложняет задачу аналитиков.

Совершенствование методов маскировки

Xloader применяет жестко запрограммированные списки-приманки, которые смешивают законные сетевые коммуникации с трафиком, сгенерированным для законных доменов. Данный двухуровневый подход включает:

  • Шифрование с использованием различных ключей и алгоритмов, как для списков-приманок, так и для реального сервера C2.
  • Отдельный шифрование списка ложных C2, которое производится с использованием трехслойного метода.

Технология шифрования и генерации ключей

Как и в случае с предшественником Formbook, Xloader использует список ложных С2, который также шифруется отдельно от реального сервера. Процесс дешифрования включает несколько уровней:

  • Первый уровень дешифрования удаляет шифрование, преобразуя строку в кодировку Base64.
  • Второй уровень расшифровывается с использованием алгоритма RC4, где каждый ключ упрощает удаление последующих уровней шифрования.

Улучшение анонимности и стратегии обхода

Версия 7.5 Xloader создает уникальные URL для каждого ложного и реального сервера C2, что значительно повышает анонимность сетевых коммуникаций. Среди других усовершенствований:

  • Постоянное совершенствование многоуровневых алгоритмов шифрования.
  • Динамическая генерация ключей для предотвращения обнаружения статических сигнатур.
  • Исправление проблем, наблюдавшихся в более ранних версиях, что повышает устойчивость к анализу.

Заключение

Xloader продолжает оставаться серьезной угрозой в сфере кибербезопасности благодаря своему усовершенствованному вредоносному поведению и инновационным методам уклонения от обнаружения. Специалист по кибербезопасности однозначно подчеркивает: «Это ПО демонстрирует, насколько важно постоянно разрабатывать новые методы защиты».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: