高度活跃的多功能远控木马
XWorm 已成为当前网络威胁环境中功能最全面、传播最活跃的远程访问木马(RAT)之一,成为网络犯罪分子武器库中的重要工具。这款复杂恶意软件的功能远超传统RAT,集成了键盘记录、远程桌面访问、数据窃取和命令执行等高级功能,对寻求全面系统控制的攻击者极具吸引力。
该恶意软件在传播机制上展现出极强的适应性,采用动态策略循环使用多种文件格式和脚本语言来规避检测。
多向量攻击与供应链威胁
与传统依赖固定感染链的恶意软件不同,XWorm 采用 PowerShell 脚本、VBS 文件、.NET 可执行文件、JavaScript、批处理脚本甚至 Office 宏作为初始攻击载体。这种变形能力极大增加了检测难度,显示出其刻意规避终端防御和沙箱技术的策略。
近期攻击活动显示,XWorm 主要针对软件供应链和游戏行业组织,攻击者同时部署 AsyncRAT 和 XWorm 作为初始恶意软件建立持久立足点。Splunk 分析师发现,这些攻击最终往往使用泄露的 LockBit Black 构建工具部署勒索软件,将 XWorm 活动与更广泛的勒索软件生态系统联系起来。
对 Malware Bazaar 上 1000 多个 XWorm 样本的分析显示,攻击者反复使用以发票、收据和交付通知为主题的钓鱼邮件,刻意营造业务紧急性的假象。
高级规避技术剖析
威胁研究社区记录了 XWorm 的复杂规避技术,Splunk 研究人员发现该恶意软件能够篡改关键的 Windows 安全功能。
该恶意软件专门针对 amsi.dll 库中的 AmsiScanBuffer() 函数,有效禁用反恶意软件扫描接口(AMSI),该接口本应允许安全软件在执行前扫描内存中的脚本和内容。
系统级操控实现深度防御规避
XWorm 最令人担忧的能力在于其规避 Windows 安全机制的多层方法。该恶意软件部署专门组件,通过直接内存操作系统性禁用关键监控和检测系统。
第一个组件专注于绕过 AMSI,使用以下技术修补扫描函数:
IntPtr intPtr = Program.a(Program.d, Program.e);
byte[] array2 = array;
uint num;
Program.c(intPtr, (UIntPtr)((ulong)((long)array2.Length)), 64U, out num);
Program.copy(array2, intPtr);
同时,XWorm 部署第二个规避机制,通过修补 EtwEventWrite() 函数来针对 Windows 事件跟踪(ETW)。该技术通过阻止记录恶意活动,有效致盲系统监控工具。
该恶意软件通过多种向量实现持久化,包括注册表运行键和计划任务,这些任务引用 %appdata% 目录中投放的 VBS 脚本和批处理文件。
感染链在进程注入技术上展现出极高复杂度,专门针对包括任务管理器、资源管理器和 svchost 在内的合法 Windows 进程。XWorm 将 shellcode 注入这些进程,同时挂钩各种 Windows API 以隐藏自身存在并维持隐蔽操作。这种全面的系统操控方法代表了 RAT 能力的重大演进,要求安全团队采取同样复杂的检测和缓解策略。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
