상세 컨텐츠

본문 제목

새로운 XLoader 봇넷, 확률 이론을 통해 서버 숨겨

국내외 보안동향

by 알약4 2022. 6. 2. 09:00

본문

New XLoader botnet uses probability theory to hide its servers

 

연구원들이 확률 이론을 통해 명령 및 제어 서버를 숨겨 악성코드 방해하기 어렵도록 하는 XLoader 봇넷 악성코드의 새로운 버전을 발견했습니다.

 

이로 인해 악성코드의 운영자는 발각된 IP 주소가 차단되어 노드를 잃을 위험 없이 동일한 인프라를 계속해서 사용할 수 있으며, 추적 및 발각될 가능성을 줄일 수 있습니다.

 

XLoader는 원래 Formbook을 기반으로 하는 윈도우 및 macOS를 노리는 인포 스틸러입니다. 이는 2021 1월에 처음으로 널리 확산되었습니다.

 

해당 악성코드의 진화를 추적해 온 Check Point의 연구원들은 최신 XLoader 버전 2.5 2.6을 샘플링 및 분석했으며, 이전 버전과 비교하여 몇 가지 중요한 차이점을 발견했습니다.

 

대수의 법칙

 

XLoader는 버전 2.3에서 미끼 63개를 포함하는 구성을 통해 실제 도메인 이름을 숨겨 실제 명령 및 제어(C2) 서버를 위장했습니다.

 

 

<이미지 출처 : https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/>

<미끼 63개 사이에 실제 도메인을 숨기기>

 

  

하지만 최신 버전에서는 악성코드가 구성 목록의 64개 도메인 목록 중 랜덤으로 8개를 선택해 통신을 시도할 때 마다 새로운 값으로 덮어쓴다는 사실을 발견했습니다.

 

<이미지 출처 : https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/>

<목록의 임의 도메인 덮어쓰기>

 

  

CheckPoint는 아래와 같이 설명했습니다.

 

“실제 C&C 도메인이 목록의 두 번째 부분에 나타날 경우 모든 사이클에서 약 80~90초마다 한 번씩 액세스됩니다. 목록의 첫 번째 부분에 나타날 경우 랜덤한 다른 도메인 이름으로 덮어쓰기됩니다.”

 

“목록의 첫 부분을 덮어쓰는 도메인 8개는 랜덤으로 선택되며, 실제 C&C 도메인은 그 중 하나일 수 있습니다. 이 경우 "fake c2(2)" 도메인의 위치에 따라 다음 사이클에서 실제 C&C 서버에 접근할 수 있는 확률은 7/64 또는 1/8입니다.”

 

이는 실제 C2 서버를 보안 전문가가 발견할 수 없도록 숨기는데 도움이 되며, 악성코드 작업에 미치는 영향을 최소한으로 유지할 수 있습니다.

 

대수의 법칙을 통해 C2에 성공적으로 접근 가능하며, 충분한 시도 횟수가 주어졌을 때 결과를 얻을 확률을 높입니다.

 

연구원은 실제 C2 주소를 도출해 내기 위해 아래와 같이 긴 에뮬레이션을 수행해야 합니다.

  

 

<이미지 출처 : https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/>

<확률표>

 

 

또한 감염 1시간 후에는 XLoader가 진짜 C2 주소에 접속하지 않을 가능성이 높습니다.

 

CheckPoint XLoader 버전 2.6 64비트 버전에서는 이 기능을 제거했음을 확인했습니다.

 

하지만 연구원이 사용하는 가상 머신 호스팅 샌드박스에서는 XLoader는 일반적인 32비트 시스템에서 새로운 C2 난독화 방법을 계속해서 사용했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Lazy.180694’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-xloader-botnet-uses-probability-theory-to-hide-its-servers/

https://research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/ (IOC)

태그

관련글 더보기

댓글 영역