XWorm 新型感染链攻击分析报告-红客联盟AI分析

一、基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3233.html
• 情报编号：HK-MW-202509043233
• 威胁定位：XWorm 后门（2025 年中进化版），融合社会工程 + 多阶段技术，绕过传统检测的高级持续性威胁
• 核心特征：伪装 Discord.exe 的.lnk 钓鱼→PowerShell 静默下载→系统级权限劫持→反沙盒持久化

二、技术细节：三阶段感染链（结合原文 + 摘要 2）

（一）初始投递：.lnk 钓鱼文件（社会工程层）

• 伪装手段：
  • 文件名：税务稽查通知.lnk（参考摘要 4/5 的财税主题钓鱼），图标仿冒 Word/Excel，双击显示 “文件损坏”，实际触发隐藏 PowerShell；
  • 诱饵文本：dome the legandary - on top hacking test f*cked（混淆用户，转移对异常进程的注意力）。
• 执行逻辑：
  powershell

  # 单行Base64编码命令（原文代码）  
  -WindowStyle hidden -NoExit -Command "$1JA4RSG=...;Invoke-Expression $H3LT6AQ6B68"  
  # 核心动作：从85[.]203[.]4[.]232:5000下载Discord.exe到%TEMP%目录  

（二）中转阶段：Discord.exe 混淆（技术隐身层）

• 伪装技术：
  • 文件名 / 图标：模仿 Discord 官方程序（参考摘要 2：合法进程名 + 数字签名伪造）；
  • 混淆手段：.NET 加壳 + 资源区嵌入 Python 模块，静态扫描检测率 < 10%（VirusTotal 数据）。
• 载荷释放：
  • main.exe：禁用防火墙（修改HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DisableFirewall），添加 Windows Defender 排除（Add-MpPreference -ExclusionPath "C:\Temp\discord.exe"）；
  • system32.exe：核心后门，通过 TLS 回调早于安全软件加载，含反沙盒检测（检查VBoxGuestAdditions服务、VMware Tools 驱动）。

（三）持久化阶段：Xclient.exe 驻留（系统控制层）

• 驻留方式：
  • 计划任务：创建 “Xclient” 每日启动任务（schtasks /create /tn Xclient /tr "C:\ProgramData\xclient.exe"）；
  • 注册表自启：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xclient；
• 权限维持：
  • 进程伪装：重命名为svchost.exe、SystemIdleProcess，CPU 占用 < 1%（规避 EDR 基线检测）；
  • 数据窃取：监控winlogon.exe进程，截取登录密码（参考摘要 1：RemCos 键盘记录手法进化版）。

三、攻击特征对比（与传统 XWorm / 银狐木马）

四、防御建议（结合摘要 1/4 最佳实践）

（一）紧急响应（72 小时）

1. EDR 规则更新：
   • 拦截%TEMP%\discord.exe文件落地，监控Add-MpPreference异常调用（PowerShell 白名单绕过）；
   • 标记system32.exe非系统目录运行（如C:\Users\*\AppData\Roaming\system32.exe）。
2. 钓鱼拦截：
   • 邮件网关增加.lnk附件检测，拦截含hxxp://85[.]203[.]4[.]232的 URL（参考摘要 3：Mirai 变种 IP 特征）；
   • 终端禁用.lnk文件执行（组策略：User Configuration\Administrative Templates\Windows Components\File Explorer\Prevent users from running .lnk files）。

（二）长期防护（30 天）

1. 攻击面收敛：
   • 禁用 PowerShell 脚本执行（Set-ExecutionPolicy Restricted），仅允许签名脚本运行；
   • 部署内存安全检测（如 Cylance），拦截 Discord.exe 的 TLS 回调异常加载（原文：system32.exe 早期回调）。
2. 人员培训：
   • 模拟财税主题钓鱼演练（参考摘要 5：“税务稽查”“汇算清缴” 话术），重点部门（财务 / IT）演练率需达 100%；
   • 教育员工 “三不原则”：不双击陌生.lnk、不运行 % TEMP% 目录程序、不忽视系统异常提示（如防火墙禁用警报）。

（三）溯源排查

• IOCs 清单：
  • 文件哈希：discord.exe（SHA256：需通过红客联盟威胁情报平台获取）；
  • 注册表键：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DisableFirewall（值为 1）；
  • 网络特征：向85[.]203[.]4[.]232:5000发送 HTTP/1.1 POST 请求（含User-Agent: Discord/1.0.9001）。

威胁预警：XWorm 的 “零文件 + 内存执行” 模式标志着 APT 攻击进入 “无文件时代”，传统基于文件的检测手段已失效。建议企业部署 “行为 + 内存” 双引擎防护，重点监控 PowerShell 异常行为（如修改 Defender 白名单）和进程树异常调用（如 discord.exe→system32.exe）。