Opozorilo: Nova različica XWorm hitro širi skozi datoteke skriptov sistema Windows. Obvladujte grožnjo z večnamenskim orodjem za zlonamerno programsko opremo leta 2022. Preprečite krajo podatkov in druge napade. Priljubljena izbira za zlonamerne akterje.

Opozorilo: Nova različica XWorm hitro širi skozi datoteke skriptov sistema Windows. Obvladujte grožnjo z večnamenskim orodjem za zlonamerno programsko opremo leta 2022. Preprečite krajo podatkov in druge napade. Priljubljena izbira za zlonamerne akterje.

XWorm, večnamensko orodje za zlonamerno programsko opremo, odkrito leta 2022, omogoča napadalcem krajo občutljivih podatkov, daljinski dostop do sistemov in uvajanje drugih zlonamernih programov. Njegova vsestranskost je postala priljubljena izbira za zlonamerne akterje, kot sta NullBulge in TA558. V tem članku bomo raziskali, kako deluje ta zlonamerna programska oprema, kako se širi in kako se lahko zaščitite pred njenimi vplivi.

Kako deluje XWorm?

XWorm deluje predvsem preko WSF prenašalnikov, ki pridobijo zlonamerni PowerShell skript. Ta skript vbrizga DLL v legitimni proces, kar omogoča izvajanje XWorm prek reflektivnega nalaganja in načrtovanih opravil. Postopek izvajanja XWorm je zasnovan tako, da se izogne statični detekciji in izboljša možnosti preživetja.

Potek izvajanja XWorm

Zlonamerni skripti in tehnike

Zlonamerni WSF datoteka je pogosto prikrita z informacijami Administracije za socialno varnost. Uporablja VBScript za dekodiranje hex-enkodiranih nizov ter prenaša PowerShell skripte za izvajanje prek Wscript.Shell, kar ji omogoča, da se izogne statični detekciji. Tak pristop omogoča napadalcem, da učinkovito prikrijejo svoje aktivnosti in izognejo zaznavanju s strani protivirusne programske opreme.

VBScript prenese prikrite PowerShell skripte iz Paste.ee ter generira dodatne datoteke (Ps1, bat, vbs). Na primer, skript VsLabs.vbs sproži VsEnhance.bat, ki nato izvede VsLabsData.ps1. Ta vrstni red izvajanja je ključnega pomena za vzpostavljanje trajnosti XWorm zlonamerne programske opreme.

Načrtovano opravilo kot trajnost pri XWorm

Trajnost in vzdrževanje XWorm

PowerShell skript VsLabsData.ps1 vzpostavi trajnost zlonamerne programske opreme XWorm z ustvarjanjem načrtovanega opravila z imenom “MicrosoftVisualUpdater”. To opravilo je konfigurirano za izvajanje VBScript datoteke VsEnhance.bat v določenih intervalih. Ta tehnika zagotavlja, da zlonamerna programska oprema ostane aktivna na kompromitiranem sistemu, kar daje napadalcem neprekinjen dostop.

Načrtovana opravila so pogosto spregledana, kar pomeni, da se lahko napadalci brez težav prikradejo v sisteme in opravljajo svoje dejavnosti. To je še en primer, kako XWorm uporablja napredne taktike za preživetje in izogibanje zaznavanju.

Kako XWorm komunicira?

XWorm vzpostavi TCP povezavo s C2 strežnikom preko svojega IP naslova. Uporablja AES šifriranje za zaščito svojih komunikacij, hkrati pa nastavi predpomnilnik za prenos podatkov na 50KB. Redni PING in PONG odzivi vzdržujejo to povezavo, kar omogoča neprekinjeno komunikacijo z napadalcem.

C2 promet pri XWorm

Informacije in posledice napada

XWorm zbira začetne informacije o napravi žrtve, kot so ime gostitelja, uporabniško ime in sistemske podrobnosti. Po zbiranju teh informacij lahko napadalec izvaja zlonamerne akcije, ki vključujejo:

  • Naložitev in odstranitev vtičnikov za prilagodljive funkcije.
  • Poratovanje časa omrežnega odziva z uporabo ukaza “Pong”.
  • Izvajanje napadov DDoS prek ukaza “StartDDos”.

Poleg tega ukaza XWorm “Hosts” in “Shosts” omogočata napadalcem branje, spreminjanje in prepisovanje gostiteljskih datotek, kar povečuje tveganje za DNS napade. Te napade je težko odkriti in se lahko izvedejo brez naročila uporabnika.

Ugotavljanje okužbe s XWorm

XWorm se lahko prikrade v sistem brez, da bi bila žrtev tega sploh osveščena. Nevarnosti XWorm vključujejo:

– Nepooblaščen dostop do osebnih podatkov in sistemov.
– Možnost nadzora nad napravo žrtve.
– Izvedba napadov na druge sisteme in strežnike.

XWorm lahko povzroči resne posledice za celotno organizacijo. Da bi se izognili okužbam in ohranili varnost, se priporoča:

  • Redno posodabljanje protivirusne programske opreme.
  • Izogibanje odpiranju sumljivih e-poštnih sporočil.
  • Treniranje zaposlenih o tveganjih zlonamerne programske opreme.

Preberite tudi:

Članek Previdno: Nova različica XWorm se hitro širi prek Windows skript datotek se je pojavil najprej na Cyber Security News.

Leave a Reply

Your email address will not be published. Required fields are marked *