## XWorm: Večfunkcionalno Orodje za Zlonamerno Programsko Opreme
XWorm, zlonamerno orodje, je bilo odkrito leta 2022 in je postalo priljubljena izbira med napadalci. Njegova vsestranskost omogoča krajo občutljivih podatkov, oddaljen dostop do sistemov ter uporabo druge zlonamerne programske opreme. Med znanimi akterji, ki so uporabili XWorm, sta tudi NullBulge in TA558. V tem članku bomo raziskali, kako XWorm deluje in kako pride do okužb z njegovim delovanjem.
### Kako deluje WSF Downloader in PowerShell Skripti
Zlonamerna programska oprema XWorm običajno dostavlja zlonamerno datoteko WSF (Windows Script File) downloader. Ta pridobi zlonamerni PowerShell skript, ki vbrizga DLL v zakonit proces. S tem se zagotovi, da se XWorm izvede preko reflektivnega nalaganja in načrtovanih nalog.
#### Izvedbeni proces XWorm
Zlonamerna WSF datoteka je pogosto zamaskirana s podatki Uprave za socialno varnost, kar ji omogoča, da se skrije pred detekcijo. Vsebuje VBScript, ki dekodira hex-kodiran niz in prenaša PowerShell skript. Uporablja Wscript.Shell za izvrševanje, da se izogne statični detekciji.
#### Funkcionalnosti VBScript in PowerShell Skripti
VBScript prenese obfuscirane PowerShell skripte s spletnih platform, kot je Paste.ee. Ustvari mape in dodatne skripte, kot so Ps1, bat in vbs. Skript VsLabs.vbs sproži VsEnhance.bat, ki izvrši VsLabsData.ps1.
PowerShell skript VsLabsData.ps1 je ključnega pomena za vzpostavitev vztrajnosti XWorma. Ustvari načrtovano nalogo, imenovano “MicrosoftVisualUpdater,” ki redno izvaja VBScript datoteko VsEnhance.bat. S tem je zagotovljena stalna prisotnost zlonamerne programske opreme.
### Injiciranje XWorma: Tehnike in Metode
Zlonamerni PowerShell skript injicira XWorm črv z uporabniškim nalagalnikom NewPE2. Ta je skrit znotraj skripta in izkorišča reflektivno nalaganje, da obide statične detekcije. Injekcija se izvaja v obstoječi proces, kot je RegSvcs.exe, s čimer se dodatno povečuje kakršna koli detekcija.
XWorm je .NET binarna datoteka, zaznana s številnimi protivirusnimi programi. Njegova različica 5.6 uporablja AES šifriranje za zaščito svojih konfiguracijskih podatkov.
### Komunikacija in Zbiranje Informacij
XWorm vzpostavi TCP socket povezavo z C2 (command-and-control) strežnikom. Uporablja IP naslov žrtve in nastavitev socket bufferja za prenos podatkov v višini 50 KB. Ta povezava se ohranja z rednimi ping in pong odgovori.
Pri zbiranju informacij XWorm pridobi podatke, kot so ime gostitelja, uporabniško ime in sistemski podatki. Te informacije se pogosto uporabljajo za izvajanje zlonamernih dejanj, kot so nalaganje in odstranjevanje vtičnikov ter poročanje o odzivnem času omrežja.
#### DDoS Napadi in DNS Napadi
XWorm omogoča napadalcem izvajanje DDoS napadov na izbrane cilje. Uporabnikom ukaz “StartDDos” omogoča pošiljanje POST zahtev vsakih 2,5 sekunde. Dodatno, ukazi “Hosts” in “Shosts” napadalcem omogočajo branje in spreminjanje datotek z gostitelji.
### Sposobnosti Posnetkov Zaslona
XWorm lahko tudi posname zaslon uporabnika. Ta funkcionalnost deluje tako, da določi dimenzije zaslona in ustvari bitmap. Vsebino zaslona shranjuje kot JPEG v pomnilniku in jo pošlje napadalcu preko socket povezave.
#### Zaključek
XWorm je večfunkcionalno orodje za zlonamerno programsko opremo, ki ponuja različne načine za okužbo sistemov. Uporaba WSF downloaderja in PowerShell skriptov za izvajanje zlonamerne programske opreme ter njene sposobnosti za DDoS napade in zbiranje informacij vsebujejo resne posledice za varnost uporabnikov.
Zavedanje o takšnih grožnjah je ključno za obrambo pred njimi. Da boste zaščitili svojo napravo, redno posodabljajte protivirusno programsko opremo in bodite previdni pri odpiranju neznanih datotek.
Prav tako preberite:
Članek [PyPI pod napadom: Odkritje zlonamernih paketov za krajo kriptovalut](https://cyberpress.org/malicious-crypto-stealing-packages/) je bil objavljen na [Cyber Security News](https://cyberpress.org).
