XWorm, gizleme teknikleri ve sistemler üzerindeki potansiyel etkileri açısından analiz edilen bir tür kötü amaçlı yazılım anlamına gelir.
Bu kötü amaçlı yazılım, kendisini gizleme ve tespit edilmekten kaçma yeteneğiyle bilinirken, bu da onu siber güvenlik alanında önemli bir tehdit haline getiriyor.
NetSkope araştırmacıları yakın zamanda XWorm’un Windows komut dosyası aracılığıyla iletilen yeni bir çeşidini belirlediler.
XWorm, “2022”de keşfedilen çok yönlü bir kötü amaçlı yazılım aracıdır ve o zamandan beri, yakın zamanda “Netskope Threat Labs” tarafından ortaya çıkarılan 5.6 sürümüne evrilmiştir.
XWorm Windows Komut Dosyası Aracılığıyla Sunuldu
Bu “.NET tabanlı” tehdit, enfeksiyon zincirini “paste” dosyasından gizlenmiş bir “PowerShell betiği” indirip çalıştıran bir “Windows Komut Dosyası Dosyası” (‘WSF’) aracılığıyla başlatır.[.]Evet.”
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Komut dosyası, “C:\ProgramData\Music\Visuals” içinde birden fazla dosya (“VsLabs.vbs”, “VsEnhance.bat” ve “VsLabsData.ps1”) oluşturur ve “MicroSoftVisualsUpdater” adlı zamanlanmış bir görev aracılığıyla kalıcılık sağlar.
Bunun yanı sıra XWorm, “DLL yükleyicisine yansıtıcı kod yükleme” (‘NewPE2’) ve ‘RegSvcs.exe’ gibi “meşru süreçlere işlem ekleme” gibi kaçamak teknikler kullanır.
Anahtar olarak değiştirilmiş bir “MD5 hash” ile “AES-ECB şifrelemesini” kullanarak “TCP soketleri” aracılığıyla “komuta ve kontrol (‘C2’) sunucusuyla” iletişim kurar.
Burada v5.6’daki yeni özellikler arasında eklentileri kaldırma yeteneği ve yanıt süresi raporlaması için bir “Pong” komutu yer alıyor.
Kötü amaçlı yazılım, “donanım”, “yazılım” ve “kullanıcı ayrıcalıkları” hakkında veri toplayarak kapsamlı sistem keşfi gerçekleştirir.
Sadece bu değil, aynı zamanda saldırganları “başarılı enfeksiyon” durumunda ‘Telegram’ aracılığıyla bilgilendiriyor.
Bu gelişmiş teknikler, “XWorm”un “hassas bilgilere erişmesini”, “uzaktan erişim elde etmesini” ve tespitten kaçarken “ek kötü amaçlı yazılım” dağıtmasını sağlar.
XWorm birden fazla saldırı vektörü kullanır ve DNS isteklerini kötü amaçlı amaçlarla yeniden yönlendirmek için virüslü sistemlerdeki ana bilgisayar dosyalarını değiştirebilir.
Kötü amaçlı yazılım, “IP adreslerini” ve “bağlantı noktalarını” hedeflemek için tekrarlayan “POST istekleri” göndererek “DDoS” saldırıları başlatır.
XWorm, “CopyFromScreen” işlevini kullanarak ‘ekran görüntüleri’ yakalar ve bunları iletimden önce bellekte “JPEG” görüntüler olarak saklar.
PowerShell aracılığıyla “sistem manipülasyonu” (“kapatma”, “yeniden başlatma”, “oturum kapatma”), “dosya işlemleri” ve “uzaktan kod yürütme” gibi çok çeşitli komutları yürütür.
Kötü amaçlı yazılım, “HTTP istekleri gönderme” ve “eklentileri kalıcı olarak yükleme” gibi ek yükleri indirip çalıştırabilir.
XWorm, arka kanalında C2 sunucusuyla iletişim için iyi tanımlanmış bir mesaj formatı kullanır ve sıklıkla kurbanın ‘sistem bilgilerini’ de ekler.
Diğer bir özellik ise, bazı işlemlerin kullanıcıdan bazı etkinlikleri gizleyerek gizlice yürütüldüğü ‘süreç izleme’dir.
Bu çeşitli araç seti, aktörlerin ele geçirilen sistemler üzerinde kapsamlı erişime ve kontrole sahip olmasını sağlar ve bu da “XWorm”u günümüzün siber güvenlik ekosisteminde önemli bir tehdit haline getirir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri