En son araştırmalara göre, XLoader kötü amaçlı yazılımının gelişmiş bir sürümünün komuta ve kontrol (C&C) altyapısını kamufle etmek için olasılığa dayalı bir yaklaşım benimsediği tespit edildi.
İsrailli siber güvenlik şirketi Check Point, “Artık buğdayı samandan ayırmak ve Xloader tarafından bir sis perdesi olarak kullanılan binlerce meşru alan arasında gerçek C&C sunucularını keşfetmek çok daha zor.” söz konusu.
İlk olarak Ekim 2020’de vahşi doğada görülen XLoader, Formbook’un halefi ve web tarayıcılarından kimlik bilgilerini yağmalama, tuş vuruşlarını ve ekran görüntülerini yakalama ve isteğe bağlı komutları ve yükleri yürütme yeteneğine sahip bir çapraz platform bilgi hırsızıdır.
Daha yakın zamanlarda, Rusya ile Ukrayna arasında süregelen jeopolitik çatışma, Türkiye için kazançlı bir yem olduğunu kanıtladı. XLoader’ı dağıtmak aracılığıyla kimlik avı e-postaları Ukrayna’daki üst düzey hükümet yetkililerine yönelik.
Check Point’ten elde edilen en son bulgular, daha önceki bir rapora dayanmaktadır. Zscaler Ocak 2022’de, kötü amaçlı yazılımın C&C (veya C2) ağ şifreleme ve iletişim protokolünün iç işleyişini ortaya çıkaran ve meşru sunucuyu gizlemek ve kötü amaçlı yazılım analiz sistemlerinden kaçmak için sahte sunucuları kullandığına dikkat çeken rapor.
Araştırmacılar, “C2 iletişimi, kurbandan çalınan verilerin gönderilmesi de dahil olmak üzere, tuzak etki alanları ve gerçek C2 sunucusuyla gerçekleşir” dedi. “Dolayısıyla, bir yedek C2’nin yem C2 etki alanlarında gizlenmesi ve birincil C2 etki alanının kaldırılması durumunda bir geri dönüş iletişim kanalı olarak kullanılması olasılığı vardır.”
Gizlilik, gerçek C&C sunucusunun alan adının, içinden 16 alanın rastgele seçildiği 64 tuzak alan içeren bir yapılandırmanın yanında gizlenmiş olması ve ardından bu 16 alandan ikisinin sahte C&C adresi ve orijinal adresle değiştirilmesi gerçeğinden kaynaklanmaktadır.
XLoader’ın daha yeni sürümlerinde değişen şey, konfigürasyondan 16 tuzak alan seçildikten sonra, gerçek alanı atlamak için adımlar atılırken her iletişim döngüsünden önce ilk sekiz alanın üzerine yeni rastgele değerler yazılmasıdır.
Ek olarak, XLoader 2.5, oluşturulan listedeki üç etki alanını iki sahte sunucu adresi ve gerçek C&C sunucu etki alanı ile değiştirir. Nihai hedef, etki alanlarına erişimler arasındaki gecikmelere bağlı olarak gerçek C&C sunucusunun algılanmasını önlemektir.
Kötü amaçlı yazılım yazarlarının şu ilkelere başvurmuş olması, olasılık teorisi meşru sunucuya erişmek, tehdit aktörlerinin hain hedeflerini ilerletmek için taktiklerini sürekli olarak nasıl ayarladıklarını bir kez daha gösteriyor.
Check Point araştırmacıları, “Bu değişiklikler aynı anda iki hedefe ulaşır: Botnet’teki her düğüm, otomatik komut dosyalarını kandırırken ve gerçek C&C sunucularının keşfedilmesini engellerken sabit bir geri tepme oranını korur.” Dedi.