Netskope Threat Labs đã phát hiện một biến thể mới của mã độc XWorm, phiên bản 6.0. Phiên bản này thể hiện sự phát triển không ngừng của các tác nhân đe dọa, tích hợp nhiều cải tiến phức tạp nhằm trốn tránh phát hiện và duy trì khả năng bền bỉ trên các hệ thống Windows.
Biến thể mới dựa trên các chuỗi lây nhiễm đã được ghi nhận trước đây, kết hợp các kỹ thuật chống phân tích nâng cao và cơ chế bảo vệ tiến trình. Điều này giúp XWorm 6.0 trở nên đặc biệt kiên cường trong các kịch bản tấn công mạng đang diễn ra.
Được theo dõi gần một năm, mã độc XWorm tiếp tục được triển khai hoàn toàn trong bộ nhớ để tránh việc điều tra pháp y dựa trên đĩa cứng. Nó tận dụng các phương pháp né tránh như tải mã phản chiếu (reflective code loading) và sửa đổi trong bộ nhớ.
Sự xuất hiện của các tính năng này cho thấy XWorm vẫn là một công cụ mạnh mẽ cho tội phạm mạng. Nó cho phép truy cập từ xa, đánh cắp dữ liệu và triển khai thêm mã độc khác, đồng thời làm phức tạp nỗ lực phòng thủ.
Tiến Trình Lây Nhiễm và Kỹ Thuật Né Tránh của XWorm 6.0
Kích Hoạt Ban Đầu qua VBScript Dropper
Quá trình lây nhiễm của XWorm 6.0 bắt đầu bằng một VBScript dropper. Dropper này thường được phân phối thông qua các chiến thuật lừa đảo (phishing) hoặc kỹ thuật xã hội (social engineering).
VBScript dropper này tái cấu trúc một payload bị che giấu (obfuscated payload) tại thời điểm chạy. Nó sử dụng các mảng mã ký tự được chuyển đổi qua hàm ChrW và thực thi bằng lệnh eval.
Để vượt qua sự kiểm tra ban đầu, dropper này loại bỏ Alternate Data Stream (ADS) Zone.Identifier của chính nó. Sau đó, nó tải xuống và thực thi một script PowerShell được lưu trữ trong thư mục tạm thời.
Cơ Chế Bền Bỉ Ban Đầu
XWorm 6.0 thiết lập tính bền bỉ bằng cách sao chép chính nó thành update.vbs trong cả thư mục TEMP và APPDATA.
Điểm khác biệt so với các phiên bản trước, vốn ưu tiên các tác vụ theo lịch trình (scheduled tasks), XWorm 6.0 thêm các đường dẫn này vào khóa chạy của sổ đăng ký (registry run key). Điều này đảm bảo nó sẽ tự động khởi chạy mỗi khi hệ thống bật.
Kỹ Thuật AMSI Bypass Nâng Cao
Script PowerShell được tải xuống triển khai kỹ thuật vượt qua Antimalware Scan Interface (AMSI).
Nó thực hiện điều này bằng cách vá tệp CLR.DLL trong bộ nhớ. Script lặp qua các vùng bộ nhớ tiến trình để định vị và vô hiệu hóa chuỗi “AmsiScanBuffer”. Kỹ thuật này ngăn chặn khả năng của AMSI trong việc quét các nội dung đáng ngờ.
Kỹ thuật AMSI bypass này được mượn từ các kho lưu trữ công cộng. Nó ngăn chặn việc kiểm tra theo thời gian thực các payload trong bộ nhớ, làm cho việc phát hiện xâm nhập trở nên khó khăn hơn.
Thực Thi Hoàn Toàn Trong Bộ Nhớ
Sau khi bypass thành công AMSI, script PowerShell tải xuống tệp nhị phân XWorm từ một kho lưu trữ GitHub. Nó sử dụng .NET’s HTTP.client để thực hiện việc này.
Tiếp theo, tệp nhị phân được tải vào bộ nhớ thông qua Assembly.Load và điểm khởi tạo của nó được gọi. Điều này đảm bảo rằng toàn bộ quá trình thực thi vẫn nằm trong bộ nhớ, tăng cường khả năng tàng hình của mã độc XWorm.
Theo báo cáo từ Netskope, XWorm 6.0, được biên dịch dưới dạng Microsoft.exe, vẫn giữ các chức năng cốt lõi. Bao gồm kết nối máy chủ C2 được mã hóa cứng (hardcoded C2 server connections) qua socket TCP, với các cấu hình được giải mã từ chuỗi mã hóa base-64.
Bạn có thể tham khảo báo cáo chi tiết về XWorm 6.0 tại Netskope Threat Labs.
Cơ Chế Bảo Vệ Tiến Trình và Chống Phân Tích
Đánh Dấu Tiến Trình Quan Trọng (Critical Process Marking)
Một tính năng quan trọng mới được giới thiệu là khả năng đánh dấu tiến trình của mã độc XWorm là một tiến trình hệ thống quan trọng.
Nếu chạy với quyền quản trị viên (được xác minh đối với nhóm WindowsBuiltInRole.Administrator), XWorm sẽ kích hoạt SeDebugPrivilege thông qua EnterDebugMode.
Điều này gắn cờ tiến trình XWorm là một tiến trình quan trọng của hệ thống. Nếu tiến trình này bị buộc chấm dứt, hệ thống sẽ gặp lỗi (system crash) và tự động khởi động lại thông qua khóa đăng ký. Điều này tăng cường đáng kể tính bền bỉ của mã độc XWorm.
Các Biện Pháp Chống Phân Tích Nâng Cao
Khả năng chống phân tích của XWorm 6.0 đã được củng cố. Mã độc sẽ tự chấm dứt hoạt động trên các môi trường Windows XP để né tránh các sandbox cũ kỹ.
Nó cũng sử dụng các truy vấn IP-API để phát hiện các IP của trung tâm dữ liệu hoặc nhà cung cấp dịch vụ lưu trữ. Nếu được xác định, mã độc sẽ tự thoát, có khả năng nhắm mục tiêu vào các sandbox phổ biến như Any.Run.
Những tính năng này bổ sung cho các khả năng trinh sát hiện có của XWorm. Bao gồm thu thập tên máy chủ (hostname), chi tiết CPU/GPU, và trạng thái phần mềm diệt virus. Tất cả thông tin này được gửi đến C2 với các dấu phân cách.
Chức Năng và Khả Năng Mở Rộng của XWorm
Lệnh Mới và Tính Năng Đa Dạng
XWorm 6.0 bổ sung các lệnh mới, mở rộng kho vũ khí của nó. Các lệnh mới bao gồm:
- Gỡ bỏ plugin để dọn dẹp dấu vết (artifact cleanup).
- Khởi tạo tấn công DDoS thông qua các yêu cầu POST đa luồng.
- Thao tác tệp hosts để thực hiện các cuộc tấn công DNS.
- Chụp ảnh màn hình bằng cách sử dụng bitmap và MemoryStream cho nén JPEG.
Các chức năng này tăng cường khả năng kiểm soát và gây hại của mã độc XWorm trên các hệ thống bị xâm nhập.
Tùy Chọn Bền Bỉ trong Builder
Các tùy chọn bền bỉ trong builder của XWorm cho phép các tác nhân tấn công lựa chọn giữa các khóa đăng ký, tác vụ theo lịch trình hoặc thư mục khởi động.
Điều này cho thấy khả năng xuất hiện nhiều biến thể khác nhau của mã độc XWorm trong tương lai, mỗi biến thể có thể sử dụng một cơ chế bền bỉ khác nhau.
Chỉ Số Thỏa Hiệp (IOCs) và Khuyến Nghị Phòng Thủ
Netskope đã cung cấp các dấu hiệu nhận diện (detections) cho XWorm 6.0, bao gồm Gen:Variant.Jalapeno.683 và ByteCode-MSIL.Backdoor.XWorm. Các chỉ số thỏa hiệp (IOCs) cũng được cung cấp để hỗ trợ săn tìm mối đe dọa (threat hunting).
Các tổ chức cần ưu tiên giám sát chặt chẽ các hoạt động thực thi trong bộ nhớ và các sửa đổi registry bất thường. Điều này giúp nhanh chóng phát hiện xâm nhập và giảm thiểu các mối đe dọa đa diện từ mã độc XWorm.
Sự thích nghi liên tục của XWorm nhấn mạnh tầm quan trọng của việc duy trì một chiến lược an ninh mạng mạnh mẽ, bao gồm cả việc cập nhật các công cụ bảo mật và đào tạo nhận thức cho người dùng.
