Une nouvelle variante du ver XWorm ?
- par Kenan
- , le 20 septembre 2023
- 1 h 13 min
stme pour la présence de SandboxieDbgMsg.dll.
menaces les plus persistantes à travers le monde.
Depuis 2022, date à laquelle il a été observé pour la première fois par des chercheurs, il a fait l’objet de plusieurs mises à jour majeures qui ont considérablement amélioré ses fonctionnalités et renforcé sa résistance.
L’équipe d’analystes d’ANY.RUN est tombée sur la dernière version du malware et n’a pas pu refuser l’opportunité de la démonter pour examiner les configurations mécaniques de XWorm. Voici comment ils ont procédé et ce qu’ils ont découvert.
L’échantillon en question a été découvert dans la base de données ANY. RUN, un référentiel contenant des rapports d’analyse détaillés sur tous les fichiers et liens téléchargés par les utilisateurs de la sandbox en mode public.
Un rapide coup d’œil aux résultats de l’analyse a révélé que l’échantillon a été initialement distribué via MediaFire, un service d’hébergement de fichiers. Le logiciel malveillant était emballé dans une archive RAR et protégé par un mot de passe.
Lors de l’exécution, la menace a été instantanément détectée par les règles de Suricata et identifiée comme étant XWorm.
Le rapport du bac à sable a mis en évidence plusieurs techniques utilisées par l’échantillon :
MITRE T1547.001 : XWorm a ajouté son raccourci au répertoire de démarrage.
MITRE T1053.005 : Il a utilisé le planificateur de tâches pour se redémarrer lui-même avec des privilèges élevés, comme indiqué par le paramètre « /RL HIGHEST ».
MITRE T1074.001 : Le logiciel a été installé dans le répertoire Public .
MITRE T1571 : Le logiciel malveillant a tenté de se connecter au serveur distant, mais aucune réponse n’a été reçue.
Comme le rapport d’analyse initial date de plusieurs jours, l’équipe a décidé d’exécuter l’échantillon dans le bac à sable une fois de plus pour vérifier s’il y a de nouvelles activités. Cependant, après le lancement, le logiciel malveillant s’est écrasé presque immédiatement. Une brève enquête a permis de constater que le malware interrogeait un service spécial pour déterminer s’il fonctionnait dans le bac à sable virtuel. Essentiellement, les développeurs de XWorm ont mis en place une technique d’évasion, qui fait que le logiciel malveillant s’arrête dès qu’il détecte un environnement virtualisé. Pour y remédier, l’équipe a activé le proxy résidentiel dans les paramètres du bac à sable. Cette fonction remplace l’adresse IP du centre de données de la machine virtuelle par celle d’un fournisseur d’accès Internet réel, ce qui donne l’impression que le logiciel malveillant s’exécute sur la machine de l’utilisateur réel. Après avoir réexécuté l’échantillon avec le proxy résidentiel activé, XWorm s’est exécuté avec succès et a commencé son activité. Inscrivez-vous et obtenez un accès INSTANTANÉ à l’analyse de cet échantillon, de tout autre échantillon sur N’IMPORTE QUEL RUN Ne manquez pas l’outil ultime pour comprendre la lutte contre les menaces En plus d’aider la fonction proxy MITM à extraire les informations transmises par Telegram (MITRE T1102) Données incluses : version (XWorm V3 1) nom d’utilisateur de la machine version du système d’exploitation hash probable de la victime Après avoir rassemblé les informations cruciales fournies les analystes ont commencé la phase statique recherche première étape chargement dans Detect Easy norme industrielle analyse initiale DIE rapidement déterminé variation NET Ensuite, seule étape logique équipe ouvrir fichier dnSpy NET débogueur qui a rapidement révélé binaire sujet lourde obfuscation Cependant analyse heuristique Employer de4dot NET deobfuscator unpacker également effet enquête plus approfondie binaire malveillant a permis de découvrir des pièces supplémentaires puzzle Spécifiquement nombre mécanique supplémentaire utilisé trouvé : Détection de la virtualisation : requête WMI « Select * from Win32_ComputerSystem » pour vérifier les environnements VmWare ou VirtualBox Détection du débogueur : fonction API CheckRemoteDebuggerPresent pour voir si le débogage est en cours Détection de Sandboxie : analyse du système pour détecter la présence de SandboxieDbgMsg dll afin de s’assurer que les informations extraites sont correctes Les analystes ont décidé d’exécuter une dernière fois cette approche différente Ils ont installé les solutions de sécurité Windows 7 VM Résultats attendus : ajout réussi du répertoire Startup, début de la communication avec le serveur distant via
ANY.Les analystes de logiciels malveillants de RUN ont récemment analysé une nouvelle version du logiciel malveillant XWorm. Ils ont utilisé un débogueur pour
Vérification de l’IP du centre de données : Xworm a interrogé la machine pour déterminer si elle était hébergée dans un centre de données.
Les résultats attendus sont les suivants
Persistance : XWorm a utilisé le registre et le planificateur de tâches pour établir une présence persistante sur le système.
Les analystes ont ensuite trouvé un constructeur qui ressemblait à un bloc contenant des paramètres.
Ils ont utilisé une fonction pour réaffecter certains de ses champs. Le logiciel malveillant a d’abord calculé un hachage MD5 à partir d’une valeur de la section présumée des paramètres.
L’obtention des configurations des derniers logiciels malveillants est cruciale mais prend du temps.
Pour plus d’efficacité, vous pouvez exécuter vos échantillons dans le bac à sable d’ANY.RUN pour accéder aux informations nécessaires en quelques secondes.
De plus, ANY.RUN offre aux équipes de sécurité un essai gratuit de 14 jours de son plan supérieur pour les aider à tester les capacités du service.
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.