XWorm是一种针对Windows操作系统的流行商业恶意软件,可通过暗网论坛以恶意软件即服务(MaaS)的形式购买,这种多功能恶意软件主要用作远程访问工具 (RAT),允许攻击者控制受感染的系统,它以隐秘性和持久性以及广泛的恶意活动而闻名,从远程桌面控制到勒索软件和信息盗窃。
除了RAT功能外,XWorm通常还具有自我传播功能,使其能够在网络中自主传播,它也是一种可通过可移动驱动器(如USB闪存驱动器)传播的恶意软件,会感染Windows系统并可能窃取信息或允许远程访问。
2.获取核心PayLoad代码,采用NET语言编写,如下所示:
3.XWormRAT核心代码,如下所示:
4.解密C2配置信息代码,如下所示:
5.动态调试获取远程服务器C2为favor.ydns.eu,如下所示:
6.在威胁情报平台查询C2域名,如下所示:
7.此前有人在社交平台上分享XWormRAT5.6的源代码,如下所示:
8.初始化C2配置信息代码,如下所示:
9.前不久有人在GITHUB上分享XWormRAT远控全版本,现在链接己经取消,这些版本可能都带有后门,如下所示:
针对XWormRAT远控样本,感有兴趣的可以自行研究。
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。对高级恶意软件分析和研究感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族,笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族,这些恶意软件家族都是全球最流行的,也是黑客攻击活动中最常见的恶意软件家族,被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
原文始发于微信公众号(安全分析与研究):XWormRAT远控样本分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3749409.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论