Zusammenfassung
XWorm ist ein relativ neues, vielseitiges Tool, das im Jahr 2022 entdeckt wurde. Es ermöglicht Angreifern, eine Vielzahl von Funktionen auszuführen, darunter den Zugriff auf vertrauliche Informationen, den Fernzugriff und die Bereitstellung zusätzlicher Malware. Die Vielschichtigkeit von XWorm ist für Bedrohungsakteure attraktiv, wie die angebliche Nutzung durch Bedrohungsakteure wie NullBulge und TA558 Anfang des Jahres zeigt.
Im Rahmen der Jagdbemühungen der Netskope Threat Labs haben wir die neueste Version von XWorm in freier Wildbahn entdeckt. In diesem Blogbeitrag werden wir die folgenden Punkte aufschlüsseln:
- Die Infektionskette, die zur Ausführung von XWorm führt.
- Umgehungsausführung des DLL-Loaders von XWorm durch reflektierendes Laden von Code.
- Die Injektion von XWorm in einen legitimen Prozess.
- Die neuen Funktionen von XWorm, zu denen das Entfernen von Plugins und ein Netzwerkbefehl gehören, der die Antwortzeit von XWorm meldet, zusammen mit anderen bemerkenswerten Befehlen.
- Benachrichtigung des Angreifers nach einer Infektion über Telegram.
Ablauf der XWorm-Ausführung
Im Folgenden finden Sie eine Zusammenfassung des Ausführungsablaufs von XWorm:
- Die Infektionskette beginnt mit dem Herunterladen und Ausführen eines PowerShell-Skripts durch das WSF, das auf paste.ee gehostet wird
- Das PowerShell-Skript führt die folgenden Aktionen aus:
A. Erstellt drei Skripte, nämlich VsLabs.vbs, VsEnhance.bat, und VsLabsData.ps1.
B. Erstellt eine geplante Aufgabe.
C. Sendet eine Telegram-Benachrichtigung an den Angreifer. - Die geplante Aufgabe führt das VBScript mit dem Namen VsLabs.vbs aus.
- VBScript führt eine Batchdatei mit dem Namen VsEnhance.bat aus.
- Die Batchdatei führt ein PowerShell-Skript mit dem Namen VsLabsData.ps1 aus.
- Das PowerShell-Skript lädt eine schädliche DLL durch das Laden von reflektierendem Code.
- Die bösartige DLL injiziert XWorm in einen legitimen Prozess und führt ihn aus.
XWorm-Dropper, der über die Windows-Skriptdatei (WSF) bereitgestellt wird
Die Infektionskette beginnt mit einer Windows-Skriptdatei (WSF), die wahrscheinlich durch Phishing übermittelt wird. Die WSF-Datei beginnt mit mehreren Absätzen über die Sozialversicherungsverwaltung durch eine Reihe von kommentierten Zeilen. Es endet jedoch mit einem VBScript, das ein PowerShell-Skript mithilfe von Wscript.Shell herunterlädt und ausführt. Um eine statische Erkennung zu vermeiden, ist der Befehl zum Herunterladen des PowerShell-Skripts hexadezimalcodiert und erfordert eine Zeichenfolgenverkettung.
Analyse von PowerShell-Skripten
VBScript lädt ein PowerShell-Skript herunter, das auf Paste.ee, einer legitimen Pastebin-Website, gespeichert ist. Die Verwendung legitimer Websites zum Speichern von bösartigem Code hilft Angreifern, unter dem Radar des Verteidigers zu fliegen. Um eine Erkennung über die Leitung zu vermeiden, führt das PowerShell-Skript die Ve