更新的 XLoader 僵尸网络利用概率理论隐藏服务器

关键要点

• XLoader 僵尸网络使用概率理论来更好地隐藏其指挥控制服务器。
• 新版本（2.5 和 2.6）可以覆盖配置列表中的域名，提高隐蔽性。
• 研究表明，实际的控制服务器在不同位置出现时，被访问的概率有显著差异。

根据 的报道，威胁行为者已更新了 XLoader 僵尸网络的恶意软件，以利用概率理论来更好地隐藏其指挥控制服务器，而无需更改基础设施。XLoader 信息窃取器基于 Formbook，能够通过将实际域名伪装在 63 个诱饵中来隐藏其 C2。在 2.3 版本中，这一策略得到了应用，但在更新的 2.5 和 2.6版本中，恶意软件可以覆盖配置列表中的 64 个域名中的 8 个。

根据 Check Point 的报告：“如果真实的 C&C 域名出现在列表的后半部分，每个周期大约会在 80-90秒内访问一次。如果它在列表的前半部分出现，它将会被另一个随机域名覆盖……覆盖列表前半部分的 8 个域名是随机选择的，真实的 C&C域名可能会是其中之一。在这种情况下，在下一个周期访问真实 C&C 服务器的概率为 7/64 或 1/8，具体取决于 'fake c2 (2)' 域名的位置。”研究人员指出，这一机制使得 XLoader 在进行恶意活动时更难被追踪。

通过这种创新的方式，XLoader僵尸网络在信息窃取和其他恶意活动中更加难以察觉。这提示我们，网络安全的威胁在不断发展，防范措施需要与时俱进以应对新兴的挑战。