خانه » بدافزار XWorm؛ سوءاستفاده از PyInstaller و AMSI برای حملات پیشرفته RAT

بدافزار XWorm؛ سوءاستفاده از PyInstaller و AMSI برای حملات پیشرفته RAT

توسط Vulnerbyte_News
144 بازدید

بدافزار XWorm بار دیگر توجه محققان امنیت سایبری را جلب کرده است. در یک کمپین جدید، مهاجمان با استفاده از ابزار PyInstaller و تکنیک دورزدن AMSI موفق شده‌اند بدافزار XWorm را در فایل‌هایی به ظاهر سالم پنهان کنند و از طریق آن کنترل کامل سیستم‌های ویندوزی را به دست آورند. این بدافزار با عبور از مکانیزم‌های امنیتی ویندوز، امکان اجرای پیلود مخرب را فراهم کرده و مهاجمان را قادر می‌سازد اطلاعات حساس کاربران را سرقت کنند یا کنترل کامل دستگاه قربانی را به دست آورند.

تحقیقات تیم Lat61 Threat Intelligence در شرکت Point Wild نشان می‌دهد که ترکیب تکنیک‌هایی مانند مبهم‌سازی کد (Obfuscation)، روتین‌های ضدتحلیل و پچ کردن حافظه AMSI باعث شده نسخه جدید XWorm RAT v7.4 به ابزاری قدرتمند برای جاسوسی و دسترسی از راه دور تبدیل شود.

جزئیات توزیع و اجرای بدافزار XWorm

محققان Point Wild روشی جدید شناسایی کرده‌اند که مهاجمان با آن به صورت غیرمجاز به سیستم‌های کاربران نفوذ می‌کنند. طبق بررسی‌های انجام‌شده توسط Kedar Shashikant Pandit، Prathamesh Shingare و Amol Swami، زنجیره آلودگی این حمله با یک روش فریب کلاسیک آغاز می‌شود.

مهاجمان معمولاً از طریق موارد زیر قربانی را هدف قرار می‌دهند:

  • ایمیل‌های فیشینگ
  • به‌روزرسانی‌های جعلی نرم‌افزار
  • فایل‌های دانلودی ظاهراً سالم

در این سناریو، فایل مخرب با استفاده از ابزار PyInstaller بسته‌بندی می‌شود؛ ابزاری که معمولاً برای تبدیل اسکریپت‌های Python به فایل اجرایی استفاده می‌شود اما در این حمله به یک روش توزیع برای بدافزار XWorm تبدیل شده است. پس از اجرای فایل توسط قربانی، یک اسکریپت کامپایل‌شده با نام زیر در پس‌زمینه اجرا می‌شود:

  • pyc

این اسکریپت بدون نمایش هیچ پنجره‌ای در سیستم اجرا شده و فعالیت مخرب خود را آغاز می‌کند.

تکنیک‌های مبهم‌سازی بدافزار

در تحلیل این بدافزار، محققان به یک روتین مشکوک به نام _IAT_PHANTOM_FIX برخوردند. این بخش در واقع کد جعلی است که تنها برای تولید داده‌های بی‌استفاده طراحی شده تا فرآیند تحلیل بدافزار برای متخصصان امنیتی زمان‌بر و دشوار شود.

این تکنیک یکی از روتین‌های رایج ضدتحلیل (Anti-Analysis) محسوب می‌شود که مهندسی معکوس بدافزار XWorm را دشوارتر کرده و زمان موردنیاز برای تحلیل آن را افزایش می‌دهد.

دور زدن مکانیزم امنیتی Windows Defender با پچ کردن AMSI

یکی از مهم‌ترین بخش‌های این حمله، استفاده از پچ کردن حافظه AMSI برای دور زدن سیستم‌های امنیتی ویندوز است.

در این روش، بدافزار XWorm حافظه سیستم را دستکاری کرده و تابع امنیتی زیر را غیرفعال می‌کند:

  • AmsiScanBuffer

این تابع بخشی از AMSI (Antimalware Scan Interface) در ویندوز است که برای اسکن اسکریپت‌ها و شناسایی بدافزارها استفاده می‌شود. با غیرفعال شدن این مکانیزم، بدافزار می‌تواند پیلود اصلی خود را بدون شناسایی اجرا کند. پیلود مخرب در فایل اصلی به شکل رمزگذاری‌شده قرار دارد و از روش‌های زیر برای پنهان‌سازی استفاده می‌کند:

  • Base64 Encoding
  • SHA‑512 Encryption

پس از رمزگشایی، فایل اجرایی در مسیر زیر ذخیره می‌شود:

  • %LOCALAPPDATA%

فایل نهایی با نام زیر ایجاد می‌شود:

  • Kernel_Svc_AJ8iOw.exe

این نام‌گذاری به‌گونه‌ای انجام شده که شبیه یک سرویس سیستمی ویندوز به نظر برسد و همچنین فایل به عنوان Hidden System File علامت‌گذاری می‌شود تا از دید کاربر پنهان بماند.

قابلیت‌های جاسوسی و کنترل از راه دور در بدافزار XWorm

بدافزار XWorm پس از فعال شدن نسخه 7.4 ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار می‌کند. این ارتباط با استفاده از کلید رمزنگاری AES برقرار شده و به آدرس زیر متصل می‌شود:

  • 219.64.89:4444

پس از برقراری اتصال، مهاجمان می‌توانند طیف گسترده‌ای از عملیات مخرب را انجام دهند، از جمله:

  • سرقت رمزهای عبور
  • بررسی و استخراج فایل‌های سیستم
  • فعال‌سازی وبکم برای جاسوسی
  • اجرای حملات DDoS
  • دانلود و اجرای فایل‌های اضافی

در برخی موارد، مهاجمان فایل زیر را نیز روی سیستم قربانی اجرا می‌کنند:

  • exe

این فایل امکان کنترل کامل از راه دور سیستم را برای مهاجم فراهم می‌کند.

بدافزار XWorm
روند اجرای حمله

چرا بدافزار XWorm همچنان تهدید جدی محسوب می‌شود؟

به گفته Zulfikar Ramzan، مدیر ارشد فناوری و هوش مصنوعی Point Wild، مهاجمان در حال جایگزینی بدافزارهای قدیمی با تکنیک‌های مدرن هستند.

آن‌ها خانواده‌های بدافزاری شناخته‌شده مانند XWorm را با بسته‌بندی‌های مدرن شامل مبهم‌سازی کد، روتین‌های ضدتحلیل، دورزدن AMSI و ارتباطات رمزنگاری‌شده C2 ترکیب می‌کنند. این کمپین نشان می‌دهد حتی RATهای شناخته‌شده نیز زمانی که زنجیره آلودگی آن‌ها با دقت برای پنهان‌کاری طراحی شده باشد، می‌توانند به تهدیدی بسیار دشوار برای شناسایی تبدیل شوند.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید