بدافزار XWorm بار دیگر توجه محققان امنیت سایبری را جلب کرده است. در یک کمپین جدید، مهاجمان با استفاده از ابزار PyInstaller و تکنیک دورزدن AMSI موفق شدهاند بدافزار XWorm را در فایلهایی به ظاهر سالم پنهان کنند و از طریق آن کنترل کامل سیستمهای ویندوزی را به دست آورند. این بدافزار با عبور از مکانیزمهای امنیتی ویندوز، امکان اجرای پیلود مخرب را فراهم کرده و مهاجمان را قادر میسازد اطلاعات حساس کاربران را سرقت کنند یا کنترل کامل دستگاه قربانی را به دست آورند.
تحقیقات تیم Lat61 Threat Intelligence در شرکت Point Wild نشان میدهد که ترکیب تکنیکهایی مانند مبهمسازی کد (Obfuscation)، روتینهای ضدتحلیل و پچ کردن حافظه AMSI باعث شده نسخه جدید XWorm RAT v7.4 به ابزاری قدرتمند برای جاسوسی و دسترسی از راه دور تبدیل شود.
جزئیات توزیع و اجرای بدافزار XWorm
محققان Point Wild روشی جدید شناسایی کردهاند که مهاجمان با آن به صورت غیرمجاز به سیستمهای کاربران نفوذ میکنند. طبق بررسیهای انجامشده توسط Kedar Shashikant Pandit، Prathamesh Shingare و Amol Swami، زنجیره آلودگی این حمله با یک روش فریب کلاسیک آغاز میشود.
مهاجمان معمولاً از طریق موارد زیر قربانی را هدف قرار میدهند:
- ایمیلهای فیشینگ
- بهروزرسانیهای جعلی نرمافزار
- فایلهای دانلودی ظاهراً سالم
در این سناریو، فایل مخرب با استفاده از ابزار PyInstaller بستهبندی میشود؛ ابزاری که معمولاً برای تبدیل اسکریپتهای Python به فایل اجرایی استفاده میشود اما در این حمله به یک روش توزیع برای بدافزار XWorm تبدیل شده است. پس از اجرای فایل توسط قربانی، یک اسکریپت کامپایلشده با نام زیر در پسزمینه اجرا میشود:
- pyc
این اسکریپت بدون نمایش هیچ پنجرهای در سیستم اجرا شده و فعالیت مخرب خود را آغاز میکند.
تکنیکهای مبهمسازی بدافزار
در تحلیل این بدافزار، محققان به یک روتین مشکوک به نام _IAT_PHANTOM_FIX برخوردند. این بخش در واقع کد جعلی است که تنها برای تولید دادههای بیاستفاده طراحی شده تا فرآیند تحلیل بدافزار برای متخصصان امنیتی زمانبر و دشوار شود.
این تکنیک یکی از روتینهای رایج ضدتحلیل (Anti-Analysis) محسوب میشود که مهندسی معکوس بدافزار XWorm را دشوارتر کرده و زمان موردنیاز برای تحلیل آن را افزایش میدهد.
دور زدن مکانیزم امنیتی Windows Defender با پچ کردن AMSI
یکی از مهمترین بخشهای این حمله، استفاده از پچ کردن حافظه AMSI برای دور زدن سیستمهای امنیتی ویندوز است.
در این روش، بدافزار XWorm حافظه سیستم را دستکاری کرده و تابع امنیتی زیر را غیرفعال میکند:
- AmsiScanBuffer
این تابع بخشی از AMSI (Antimalware Scan Interface) در ویندوز است که برای اسکن اسکریپتها و شناسایی بدافزارها استفاده میشود. با غیرفعال شدن این مکانیزم، بدافزار میتواند پیلود اصلی خود را بدون شناسایی اجرا کند. پیلود مخرب در فایل اصلی به شکل رمزگذاریشده قرار دارد و از روشهای زیر برای پنهانسازی استفاده میکند:
- Base64 Encoding
- SHA‑512 Encryption
پس از رمزگشایی، فایل اجرایی در مسیر زیر ذخیره میشود:
- %LOCALAPPDATA%
فایل نهایی با نام زیر ایجاد میشود:
- Kernel_Svc_AJ8iOw.exe
این نامگذاری بهگونهای انجام شده که شبیه یک سرویس سیستمی ویندوز به نظر برسد و همچنین فایل به عنوان Hidden System File علامتگذاری میشود تا از دید کاربر پنهان بماند.
قابلیتهای جاسوسی و کنترل از راه دور در بدافزار XWorm
بدافزار XWorm پس از فعال شدن نسخه 7.4 ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار میکند. این ارتباط با استفاده از کلید رمزنگاری AES برقرار شده و به آدرس زیر متصل میشود:
- 219.64.89:4444
پس از برقراری اتصال، مهاجمان میتوانند طیف گستردهای از عملیات مخرب را انجام دهند، از جمله:
- سرقت رمزهای عبور
- بررسی و استخراج فایلهای سیستم
- فعالسازی وبکم برای جاسوسی
- اجرای حملات DDoS
- دانلود و اجرای فایلهای اضافی
در برخی موارد، مهاجمان فایل زیر را نیز روی سیستم قربانی اجرا میکنند:
- exe
این فایل امکان کنترل کامل از راه دور سیستم را برای مهاجم فراهم میکند.
چرا بدافزار XWorm همچنان تهدید جدی محسوب میشود؟
به گفته Zulfikar Ramzan، مدیر ارشد فناوری و هوش مصنوعی Point Wild، مهاجمان در حال جایگزینی بدافزارهای قدیمی با تکنیکهای مدرن هستند.
آنها خانوادههای بدافزاری شناختهشده مانند XWorm را با بستهبندیهای مدرن شامل مبهمسازی کد، روتینهای ضدتحلیل، دورزدن AMSI و ارتباطات رمزنگاریشده C2 ترکیب میکنند. این کمپین نشان میدهد حتی RATهای شناختهشده نیز زمانی که زنجیره آلودگی آنها با دقت برای پنهانکاری طراحی شده باشد، میتوانند به تهدیدی بسیار دشوار برای شناسایی تبدیل شوند.