Xworm kötü amaçlı yazılımların sofistike yeni bir varyantı, vahşi doğada ortaya çıktı, ileri düzey anti-analiz yetenekleri ve dünya çapında Windows kullanıcıları için önemli tehditler oluşturan gelişmiş kaçaklama tekniklerini getirdi.
Xworm v6.0 olarak adlandırılan en son yineleme, güvenlik analizi ve algılama sistemlerine karşı birden fazla koruma katmanı içeren önceki sürümlerden önemli bir evrimi temsil eder.
Kötü amaçlı yazılım, genellikle şüphesiz kullanıcıları hedefleyen sosyal mühendislik kampanyaları aracılığıyla sunulan özenle hazırlanmış bir VBScript dosyası aracılığıyla saldırısını başlatır.
.webp)
Bu ilk damlalık, VBScript’in CHRW işlevi kullanılarak ters sırada işlenen karakter kodu dizileri aracılığıyla çalışma zamanında kötü amaçlı yükleri gömme ve yeniden yapılandırarak sofistike gizleme teknikleri kullanır.
Yeniden yapılandırılmış komut dosyası, güvenlik tanımlayıcılarını sistematik olarak kaldırır, ek yükler indirir ve enfekte olmuş sistem boyunca birden fazla kalıcılık mekanizması oluşturur.
Netskope analistleri, Xworm’un evrimini izlemenin yaklaşık bir yıl sonra bu yeni varyantı tanımladı ve hem gizli yeteneklerinde hem de operasyonel sofistike önemli gelişmelere dikkat çekti.
.webp)
Araştırmacılar, Xworm V6.0’ın sadece bellekle ilgili yürütme modelini sürdürdüğünü keşfederken, kritik süreç koruması ve güvenlik araştırmacılarını ve otomatik algılama sistemlerini hayal kırıklığına uğratmak için tasarlanmış gelişmiş anti-analiz özellikleri.
Kötü amaçlı yazılım, çift konumlu bir strateji yoluyla dikkate değer bir kalıcılık gösterir ve sistem başlangıçta otomatik yürütme sağlamak için kayıt defteri çalıştırma anahtarlarını değiştirmeden önce kendisini hem geçici hem de uygulama veri klasörlerine kopyalayarak kendisini “güncelleme.vbs” olarak kopyalar.
Bu yaklaşım, öncelikle planlanan görevlere dayanan önceki sürümlerden farklıdır, bu da kötü amaçlı yazılım yazarlarının kalıcılık mekanizmalarını sürekli olarak iyileştirdiğini gösterir.
Bellek manipülasyonu yoluyla gelişmiş AMSI baypas
Xworm V6.0’ın en ilgili yeniliklerinden biri, ortak dil çalışma zamanı kütüphanesinin doğrudan bellek manipülasyonu yoluyla uygulanan sofistike antimal yazılım tarama arayüzünde (AMSI) baypas özelliğinde yatmaktadır.
Kötü amaçlı yazılım PowerShell bileşeni, “Wolf-8372-4236-2751-Hunter-978-GHOST-9314.ps1” olarak kaydedilir.
.webp)
Bypass mekanizması, CLR.DLL bellek alanı içindeki “AmsiscanBuffer” dizesini tanımlayarak ve null baytlarla değiştirerek, sistemin AMSI denetimi için şüpheli içerik gönderme yeteneğini etkili bir şekilde kısırlaştırarak çalışır.
Bu teknik, kötü amaçlı yazılımın Windows güvenlik mimarisi hakkındaki sofistike anlayışını ve geleneksel algılama eşiklerinin altında çalışma yeteneğini göstermektedir.
$signature = [System.Text.Encoding]::UTF8.GetBytes($a + $b + $c + $d)
$pathbuilder = New-Object System.Text.StringBuilder $max_path
if ([Win32.Kernel32]::GetMappedFileName($hprocess, $region.BaseAddress, $pathbuilder, $max_path) -gt 0) {
$path = $pathbuilder.ToString()
if ($path.EndsWith("clr.dll", [StringComparison]::InvariantCultureIgnoreCase)) {
// Memory patching implementation
}
}Kötü amaçlı yazılım, yönetici ayrıcalıkları mevcut olduğunda kendisini kritik bir sistem süreci olarak işaretleyerek hayatta kalmasını daha da artırır, bu da sistem istikrarsızlığına neden olmadan fesih son derece zorlaştırır.
Bu koruma mekanizması, kayıt defterine dayalı kalıcılığı ve yalnızca bellekle ilgili yürütme ile birleştiğinde, hem otomatik güvenlik araçları hem de manuel olay müdahale çabaları için müthiş bir zorluk yaratarak modern kötü amaçlı yazılım tehditlerinin sürekli evrimini vurgulamaktadır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin