XWorm: تحليل تقني

XWorm: تحليل تقني لإصدار جديد من البرامج الضارة.

XWorm: تحليل تقني لإصدار جديد من البرامج الضارة. XWorm هو برنامج تروجان وصول عن بعد تم تطويره بواسطة مجموعة من القراصنة المرتبطين بالصين. تم اكتشاف أحدث إصدار من XWorm في سبتمبر 2023، ويستخدم مجموعة واسعة من التقنيات لتجنب الاكتشاف، بما في ذلك:

  • الكشف عن بيئة التجارب الافتراضية
  • استخدام عنوان IP من مزود خدمة إنترنت فعلي بدلاً من عنوان IP لمركز البيانات
  • كشف المصحح
  • كشف Sandboxie
  • فحص IP لمركز البيانات
  • الثبات

تمكن فريق التحليل في ANY.RUN من تجاوز آليات التهرب هذه عن طريق تمكين الخيارات Residential Proxy و MITM proxy في إعدادات ANY.RUN sandbox.

كشف التحليل الإضافي للعينة عن عدد من التقنيات الأخرى التي يستخدمها XWorm، بما في ذلك:

  • جمع معلومات النظام
  • إنشاء اختصار لنفسه في مجلد Startup
  • إعادة تشغيل نفسه بصلاحيات مرتفعة
  • إسقاط ملف ضار على محرك أقراص USB
  • نقل البيانات إلى خادم بعيد

تمكن الفريق أيضًا من استخراج تكوين XWorm، والذي يشمل:

  • المضيف
  • المنفذ
  • مفتاح AES
  • الفاصل
  • وقت النوم
  • ملف إسقاط USB
  • المفتاح
  • ملف السجل
  • رمز Telegram
  • معرف محادثة Telegram

التحليل الفني:

تم تحليل عينة XWorm بواسطة فريق التحليل في ANY.RUN باستخدام مجموعة متنوعة من الأدوات والتقنيات، بما في ذلك:

  • Detect it Easy
  • dnSpy
  • de4dot

كشف التحليل الأولي للعينة أنها ملف .NET 32 بت يستخدم بنية رمز مضغوطة ومخفية. تم استخدام Detect it Easy لتحديد أن الملف عبارة عن برنامج تروجان وصول عن بعد، ولكن لم يتم تحديد أي ميزات أو قدرات أخرى.

تم استخدام dnSpy لفتح الملف في وضع التحرير، مما سمح للفريق بتحليل رمزه. كشف التحليل أن الملف يحتوي على عدد من التقنيات لتجنب الاكتشاف، بما في ذلك:

  • الكشف عن بيئة التجارب الافتراضية: يستخدم XWorm وظيفة WMI لتحديد ما إذا كان النظام يعمل في بيئة افتراضية. إذا تم اكتشاف أن النظام يعمل في بيئة افتراضية، فإن XWorm يغلق نفسه.
  • استخدام عنوان IP من مزود خدمة إنترنت فعلي: يستخدم XWorm عنوان IP من مزود خدمة إنترنت فعلي بدلاً من عنوان IP لمركز البيانات. هذا يجعل من الصعب تحديد موقع خادم التحكم والتحكم (C&C) الخاص بـ XWorm.
  • كشف المصحح: يستخدم XWorm وظيفة CheckRemoteDebuggerPresent API لتحديد ما إذا كان يتم تصحيحه. إذا تم اكتشاف أنه يتم تصحيحه، فإن XWorm يغلق نفسه.
  • كشف Sandboxie: يستخدم XWorm وظيفة IsProcessInSandbox API لتحديد ما إذا كان النظام يعمل داخل Sandboxie. إذا تم اكتشاف أن النظام يعمل داخل Sandboxie، فإن XWorm يغلق نفسه.
  • فحص IP لمركز البيانات: يستخدم XWorm وظيفة GetHostByName API لتحديد ما إذا كان النظام موجودًا في مركز بيانات. إذا تم اكتشاف أن النظام موجود في مركز بيانات، فإن XWorm يغلق نفسه.
  • الثبات: يستخدم XWorm عددًا من التقنيات لجعل نفسه أكثر ثباتًا، بما في ذلك:
    • استخدام رمز مخفي ومضغوط.
    • استخدام تقنيات التهرب من الكشف.
    • استخدام تقنيات لجعل نفسه أكثر مقاومة للتحليل.

الميزات والقدرات:

كشف التحليل الإضافي للعينة عن عدد من الميزات والقدرات الأخرى التي يستخدمها XWorm، بما في ذلك:

  • جمع معلومات النظام: يقوم XWorm بجمع معلومات النظام، مثل اسم المستخدم وإصدار Windows واسم الكمبيوتر. يتم استخدام هذه المعلومات لإنشاء ملف تعريف للضحية.
  • إنشاء اختصار لنفسه في مجلد Startup: يقوم XWorm بإنشاء اختصار لنفسه في مجلد Startup، مما يسمح له ببدء التشغيل تلقائيًا عند بدء تشغيل النظام.
  • إعادة تشغيل نفسه بصلاحيات مرتفعة: يمكن لـ XWorm إعادة تشغيل نفسه بصلاحيات مرتفعة، مما يسمح له بالوصول إلى موارد النظام بالكامل.
  • إسقاط ملف ضار على محرك أقراص USB: يمكن لـ XWorm إسقاط ملف ضار على محرك أقراص USB، مما يمكنه من إصابة أجهزة كمبيوتر أخرى عند توصيله بها.
  • نقل البيانات إلى خادم بعيد: يمكن لـ XWorm نقل البيانات إلى خادم بعيد، مثل أسماء المستخدمين وكلمات المرور وبيانات اعتماد تسجيل الدخول الأخرى.

XWorm: تحليل تقني لإصدار جديد من البرامج الضارة. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة