یک ارائه‌دهنده اطلاعات تهدید جهانی، Evilcoder را در قالب پروژه‌ای که برای فروش ابزار‌های مخرب برای اجرای آنلاین ماژول‌های HNVC مخرب و حملات باج‌افزار طراحی شده، مطالعه کرده است. علاوه بر این، XWorm RAT در حال توزیع نیز یافت شد.

جزییات کشف بدافزار
تحت این پروژه، یک توسعه‌دهنده بدافزار در حال فروش ابزار‌هایی برای ایجاد بدافزار، مخفی کردن بدافزار‌های موجود، و دور زدن بررسی‌های UAC و همچنین تبلیغ RAT‌های قدرتمند Windows کشف شدند.
توسعه دهنده بدافزار هفت ابزار با قیمتی بین ۳۰ تا ۱۵۰ دلار ارسال کرده است. با این حال، توسعه‌دهنده در وب‌سایت Evilcoder تصریح می‌کند که این ابزار‌ها فقط برای اهداف آموزشی و تست امنیتی طراحی شده‌اند و نه برای هیچ فعالیت دیگری.
محققان نمونه‌های پروژه Evilcoder را تجزیه و تحلیل کردند و چند گونه مختلف از XWorm را شناسایی کردند که از تکنیک‌های پایداری و فرار دفاعی متعدد استفاده می‌کند.

تحلیل تکنیکال
بدافزار XWorm می‌تواند چندین payload مخرب را در نقاط مختلف سیستم ر‌ها کند، ورودی‌های رجیستری را اضافه یا تغییر دهد و دستورات را اجرا کند. پس از اجرا، بدافزار یک ثانیه به خواب رفته و mutexes، ماشین‌های مجازی، اشکال‌زدا‌ها، شبیه‌ساز‌ها، محیط‌های sandbox و Anyrun را بررسی می‌کند. در صورت عدم رعایت هر یک از این شرایط، بدافزار فعالیت خود را خاتمه می‌دهد.
بدافزار XWorm خود را در پوشه راه‌اندازی اولیه نصب می‌کند و یک ورودی وظیفه برنامه‌ریزی شده در پوشه AppData ایجاد می‌کند. بدافزار یک ورودی autorun در رجیستری ایجاد می‌کند تا اطمینان حاصل کند که هر زمان که سیستم مجدداً راه‌اندازی شود به طور خودکار اجرا می‌شود.
پس از ایجاد پایداری، با سرور C2 تماس می‌گیرد. سپس سیستم دامنه C&C از طریق یک رشته جدید از اطلاعات سیستم جدید مطلع می‌شود. این روال Read() را در بر می‌گیرد که دستورات رمزگذاری شده AES را از C&C دریافت می‌کند و قبل از اجرای عملیات لازم آن‌ها را رمزگشایی می‌کند.

قابلیت‌های XWorm
این بدافزار می‌تواند وظایف مختلفی از جمله ثبت کلید ورودی، ضبط صفحه، به‌روزرسانی خودکار، خود تخریبی، اجرای اسکریپت و عملیات باج‌افزار را انجام دهد.
عملیات پوشه فایل که توسط بدافزار انجام می‌شود عبارتند از افزودن و حذف فایل‌ها، پنهان کردن و نمایش فایل‌ها و انتقال فایل‌ها.
علاوه بر این، بدافزار یک حمله محاسبات شبکه مجازی مخفی (HVNC) را راه‌اندازی می‌کند که به آن اجازه می‌دهد یک ماشین راه دور را بدون اطلاع قربانی کنترل کند.

نتیجه‌گیری
توسعه‌دهندگان بدافزار با مسئولیت کم یا بدون مسئولیت می‌توانند برنامه‌های مخرب ایجاد کنند و آن‌ها را در انجمنهای مختلف برای کسب سود مالی بفروشند. عوامل تهدید با ویژگی‌های بسیار تأثیرگذار و خطرناک مانند ماژول‌های باج‌افزار و HVNC برای جذب مشتریان بیشتر ارائه می‌شوند. شما باید سیستمی داشته باشید تا با TTP‌های تهدیدات تازه راه‌اندازی شده یا اگر تکنیک‌های حمله جدیدی توسط گروه‌های مجرم سایبری موجود اتخاذ شده است، خود را در جریان دفاعیات سایبری قرار دهید.

بیشتر بخوانید