【安全资讯】XWorm 展现最新演化中的隐蔽技术

概要：

近期，来自Netskope Threat Labs的报告揭示了恶意软件XWorm的最新隐蔽技术演化。这种恶意软件首次在2022年被发现，如今其新版本展示了增强的攻击能力，能更有效地规避检测并妥协系统。XWorm由此成为威胁行为者的主要工具。

主要内容：

XWorm的感染链极其复杂且高度有效，通常始于通过网络钓鱼传播的Windows脚本文件（WSF）。该文件通过一系列多阶段执行过程，最终将XWorm载荷注入合法系统进程中，留下极少的痕迹。根据Netskope Threat Labs的研究，WSF文件被十六进制编码的命令遮掩，下载并执行一个PowerShell脚本，启动感染过程。

这一PowerShell脚本创造了多个脚本，如VsLabs.vbs和VsLabsData.ps1，通过一种称为反射代码加载（reflective code loading）的技术来加载恶意XWorm DLL。这使得恶意软件能够注入到诸如RegSvcs.exe等Microsoft签名的合法进程中，增加了检测难度。新版本XWorm的一个关键特点是其避免将载荷存储在磁盘上，而是将其保存在PowerShell脚本中，以十六进制字符串形式存在，减少静态检测的可能。

新的反射代码加载方法与C2服务器的加密通信相结合，使攻击者能够在不触发报警的情况下保持对受感染系统的控制。此外，该恶意软件引入了“Pong”命令，用于网络诊断，提供感染主机与C2服务器之间的实时响应时间。为了确保持久性，XWorm利用一个名为“MicrosoftVisualUpdater”的计划任务，每15分钟运行一次恶意脚本。

XWorm依然保留了许多旧版本的功能，并增加了新的能力，使其更具威胁性。该恶意软件能够执行拒绝服务（DDoS）攻击，捕获受害者屏幕截图，并修改系统的hosts文件，从而操纵DNS设置。结合其执行PowerShell命令、下载并运行文件以及操纵系统进程的能力，XWorm在现代网络安全领域中成为一大威胁。