Netskope tehdit laboratuvarları, tehdit aktörleri tarafından devam eden gelişimi gösteren ve Windows sistemlerinde kalıcılığı korumayı ve devam etmeyi amaçlayan sofistike geliştirmeler sunan Xworm kötü amaçlı yazılım, sürüm 6.0’ın yeni bir yinelemesini ortaya çıkardı.
Bu varyant, daha önce belgelenmiş enfeksiyon zincirleri üzerine inşa edilir, gelişmiş anti-analiz tekniklerini ve aktif saldırı senaryolarında özellikle esnek hale getiren proses koruma mekanizmaları içerir.
Yaklaşık bir yıl boyunca izlenen bu kötü amaçlı yazılım, disk tabanlı adli tıptan kaçınmak için, yansıtıcı kod yükleme ve bellek içi değişiklikler gibi kaçırma yöntemlerinden yararlanmak için bellekte dağıtılmaya devam etmektedir.
Bu özelliklerin ortaya çıkması, Xworm’un siber suçlular için güçlü bir araç olmaya, uzaktan erişim, veri açığa çıkma ve ek kötü amaçlı yazılım dağıtımını, savunma çabalarını karmaşıklaştırırken olmasını sağlar.
Enfeksiyon zinciri
Xworm 6.0 için enfeksiyon süreci, genellikle kimlik avı veya sosyal mühendislik taktikleri aracılığıyla dağıtılan bir VBScript damlası ile başlar, bu da CHRW fonksiyonları aracılığıyla dönüştürülen karakter kodu dizilerini kullanarak çalışma zamanında gizlenmiş bir yükü yeniden yapılandırır.
Bu damlalık bölgesini kaldırır.
Hem sıcaklık hem de AppData dizinlerinde update.vbs’e kopyalayarak kalıcılık oluşturur ve bunları kayıt defterine ekleyerek, planlanan görevleri tercih eden önceki sürümlerden bir kayma anahtarı.
PowerShell komut dosyası, CLR.DLL’yi bellekte yamalayarak bir antimal yazılım tarama arayüzü (AMSI) bypass’ı uygular, “amsiscanbuffer” dizesini bulmak ve geçersiz kılmak için işlem bellek bölgeleri boyunca yinelenerek AMSI’nin şüpheli içeriği tarama yeteneğini etkili bir şekilde devre dışı bırakır.
Kamu depolarından ödünç alınan bu teknik, bellek içi yüklerin gerçek zamanlı olarak incelenmesini önler.
Bypass’ı takiben, komut dosyası .NET’in http.client’ini kullanarak bir GitHub deposundan Xworm ikilisini indirir, montaj yoluyla yükler ve giriş noktasını çağırır ve yürütmenin tamamen bellekte kalmasını sağlar.
Geliştirilmiş özellikler
Rapora göre, Microsoft.exe olarak derlenen Xworm 6.0, TCP soketleri aracılığıyla sabit kodlanmış C2 sunucu bağlantıları gibi temel işlevleri korur ve taban-64 kodlu dizelerden şifreli yapılandırmalar ile, ancak sonlandırmayı engellemek için kritik işlem işaretini getirir.
WindowsBuilTinRole.Administrator grubuna doğru doğrulanan yönetici ayrıcalıkları ile çalışıyorsa, enterdebugMode aracılığıyla SedebugPrivilege’yi etkinleştirir ve kendisini kritik bir süreç olarak işaretler.
Bu, bir sistemin zorla sonlandırma üzerine çökmesini zorlar, ardından kayıt defteri anahtarından otomatik olarak yeniden başlatılır ve kalıcılığı önemli ölçüde artırır.
Anti-analiz yetenekleri desteklenmiştir: kötü amaçlı yazılım, Windows XP ortamlarında eski sanal alanlardan kaçınmak için kendi kendini sona erdirir ve herhangi bir gibi sandbox’ları hedefliyorsa, veri merkezini veya barındırma sağlayıcısı IP’lerini tespit etmek için IP-API sorguları kullanır.
Bunlar, Sınırlayıcılarla C2’ye gönderilen ana bilgisayar adı, CPU/GPU detayları ve antivirüs durumu toplama gibi mevcut keşif özelliklerine katılır.
Yeni komutlar, eser temizleme için eklentinin kaldırılması, dişli post istekleri yoluyla DDOS başlatma, DNS saldırıları için dosya manipülasyonu ve JPEG sıkıştırma için Bitmap ve MemoryStream kullanarak ekran görüntüsü yakalama dahil olmak üzere Arsenalini genişletiyor.
İnşaatçıdaki kalıcılık seçenekleri, saldırganların kayıt defteri anahtarlarını, görevlerini veya başlangıç klasörlerini seçmelerine izin vererek çeşitli gelecekteki varyantları önerir.
Netskope’un gen: varyant.jalapeno.683 ve bytecode-mSil.backdoor.xworm dahil olmak üzere tespitleri, tehdit avı için mevcut IOC’lerle kapsama alanı sağlar.
Bu evrim, Xworm’un uyarlanabilirliğinin altını çizerek savunucuları çok yönlü tehditlerini azaltmak için bellek içi infazları ve anormal kayıt defteri değişikliklerini izlemeye çağırıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!