【安全资讯】XWorm 展现最新演化中的隐蔽技术

安恒恒脑 2024-10-02 19:12:28 348人浏览

概要:

近期,来自Netskope Threat Labs的报告揭示了恶意软件XWorm的最新隐蔽技术演化。这种恶意软件首次在2022年被发现,如今其新版本展示了增强的攻击能力,能更有效地规避检测并妥协系统。XWorm由此成为威胁行为者的主要工具。

主要内容:

XWorm的感染链极其复杂且高度有效,通常始于通过网络钓鱼传播的Windows脚本文件(WSF)。该文件通过一系列多阶段执行过程,最终将XWorm载荷注入合法系统进程中,留下极少的痕迹。根据Netskope Threat Labs的研究,WSF文件被十六进制编码的命令遮掩,下载并执行一个PowerShell脚本,启动感染过程。

这一PowerShell脚本创造了多个脚本,如VsLabs.vbs和VsLabsData.ps1,通过一种称为反射代码加载(reflective code loading)的技术来加载恶意XWorm DLL。这使得恶意软件能够注入到诸如RegSvcs.exe等Microsoft签名的合法进程中,增加了检测难度。新版本XWorm的一个关键特点是其避免将载荷存储在磁盘上,而是将其保存在PowerShell脚本中,以十六进制字符串形式存在,减少静态检测的可能。

新的反射代码加载方法与C2服务器的加密通信相结合,使攻击者能够在不触发报警的情况下保持对受感染系统的控制。此外,该恶意软件引入了“Pong”命令,用于网络诊断,提供感染主机与C2服务器之间的实时响应时间。为了确保持久性,XWorm利用一个名为“MicrosoftVisualUpdater”的计划任务,每15分钟运行一次恶意脚本。

XWorm依然保留了许多旧版本的功能,并增加了新的能力,使其更具威胁性。该恶意软件能够执行拒绝服务(DDoS)攻击,捕获受害者屏幕截图,并修改系统的hosts文件,从而操纵DNS设置。结合其执行PowerShell命令、下载并运行文件以及操纵系统进程的能力,XWorm在现代网络安全领域中成为一大威胁。
恶意软件 钓鱼攻击 命令代码执行 隐私保护 IT行业 金融 医疗卫生
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。