XWorm 6.0恶意软件
安全研究人员追踪发现,XWorm 从一个紧凑的远程访问框架演变为一个高度模块化的平台,攻击者可利用该平台在受感染的 Windows 主机上运行各种恶意操作。XWorm 于 2022 年首次被标记,并被关联到一个使用 EvilCoder 用户名的组织。XWorm 一直由使用 XCoder(首席开发人员,直至 2024 年中期)身份的个人积极开发和修改,最近,XCoderTools 等卖家也参与其中。XWorm 的持续演进和重现表明,一个工具可以快速分裂、重新打包并重新流行。
目录
XWorm 的构建方式——核心 + 插件
XWorm 的架构核心是一个小型客户端,该客户端可以连接到命令与控制 (C2) 服务器,以及一组可按需加载到内存的插件有效载荷。这种设计允许攻击者将轻量级客户端保留在主机上,同时动态推送功能 (DLL) 以执行特定任务。该项目的生态系统还包含由开发人员推广的辅助工具:一个 .NET 恶意软件构建器、一个名为 XBinder 的独立 RAT,以及一个试图绕过 Windows 用户帐户控制 (UAC) 的实用程序。XWorm 的开发者社区还宣传了其他组件和虚假安装程序(尤其是恶意的 ScreenConnect 安装程序),作为分发诱饵。
感染链和传播技术
研究人员观察到 XWorm 的感染流程多种多样。早期的攻击链依赖于传递 Windows 快捷方式 (LNK) 文件的网络钓鱼邮件;LNK 文件会执行 PowerShell,从而植入诱饵文件(例如,无害的 TXT 文件)和欺骗性可执行文件(通常伪装成 Discord),最终启动真正的负载。近期传播 6.x 系列的攻击活动在网络钓鱼邮件中使用恶意 JavaScript 附件,这些附件会显示诱饵 PDF 文件,同时执行后台 PowerShell,将 XWorm 注入合法进程(例如 RegSvcs.exe),以避免被检测到。威胁行为者还通过 GitHub 代码库、文件共享网站、Telegram 频道和 YouTube 推送破解版或木马版 XWorm 组件,试图诱骗技术水平较低的操作员安装后门构建器。
规避、远程控制和操作员功能
XWorm 集成了多重反分析检查,当检测到虚拟化或沙盒指标时,会中止执行。一旦激活,客户端就会接受来自 C2 的命令,这些命令涵盖常见的 RAT 操作(文件传输、进程和服务操作、执行 Shell 命令、打开 URL)、系统控制(关机/重启)以及更激进的操作,例如发起 DDoS 攻击。模块化插件模型允许远程操作员在内存中运行超过 35 种不同的 DLL 负载,而无需将其写入磁盘,这为 XWorm 提供了灵活的攻击面,同时减少了取证痕迹。
插件交付协议
XWorm 6.x 实现了哈希优先的插件协议:C2 发出一个“plugin”命令,其中包含所请求 DLL 的 SHA-256 哈希值以及运行时参数。客户端检查是否已缓存该插件;如果没有,则使用“sendplugin”命令请求文件。服务器回复“savePlugin”命令,其中包含以 base64 格式存储的插件及其 SHA-256 哈希值。客户端解码该插件,验证哈希值,然后将 DLL 直接加载到内存中执行。
值得注意的插件及其功能
- RemoteDesktop.dll — 建立交互式远程会话。
- WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged.dll、Chromium.dll、SystemCheck.Merged.dll——从操作系统和应用程序窃取凭证和数据(Windows 密钥、Wi-Fi 密码、浏览器存储的凭证,包括应用程序绑定加密的绕过方法,以及 FileZilla、Discord、Telegram、MetaMask 的收集器)。
- FileManager.dll — 文件系统访问和操作。
- Shell.dll — 通过 cmd.exe 隐藏执行操作员命令。
- Informations.dll — 主机/系统指纹识别。
- Webcam.dll — 捕获网络摄像头图像/视频以确认真正的受害者。
- TCPConnections.dll、ActiveWindows.dll、StartupManager.dll——枚举网络连接、活动窗口和自动启动条目。
- Ransomware.dll——文件加密/解密例程(与 NoCry 风格的勒索软件共享代码)。
- Rootkit.dll — 安装修改后的 r77 rootkit。
- ResetSurvival.dll — 修改 Windows 注册表以在某些设备重置后继续运行。
通过 XWorm 感染传播的其他恶意软件包括:
- 暗云窃贼
- Hworm(VBS RAT)
- 蛇形键盘记录器
- 挖矿者
- 纯恶意软件
- ShadowSniff(Rust窃取程序,开源)
- 幻影窃贼
- 窃取蜂酮
运营受挫、碎片化和武器化分叉
XWorm 的发展并非一帆风顺。2024 年下半年,XCoder 突然删除了 Telegram 账号,该项目的未来前景堪忧。然而,这一漏洞却催生了一系列机会主义活动:破解的 XWorm v5.6 软件包本身被植入木马病毒,用于感染其他威胁行为者;以及通过 GitHub 和其他公共渠道针对“脚本小子”发起的社会工程攻击活动——研究人员估计,这些攻击活动试图入侵数万台设备(据报道超过 18,000 台)。
分析人员还发现了一些经过修改的分支,包括一个名为 XSPY 的变种(报告来源:中文变种),以及某些版本中存在的严重远程代码执行 (RCE) 漏洞,该漏洞允许持有 C2 加密密钥的人在受感染的主机上执行任意代码。该工具包的碎片化使得溯源和删除更加困难;不同的卖家和分支可能会独立出现和消失。
2025 年重现:XWorm 6.0 和市场活动
2025年6月4日,一家自称XCoderTools的供应商在网络犯罪论坛上发布了XWorm 6.0,售价500美元,终身使用,并声称该版本已完全重新编码,并且之前报告的RCE漏洞已修复。目前尚不清楚该版本是来自原作者还是利用XWorm品牌的第三方。观察到的XWorm 6.0样本配置为通过端口4411与位于94.159.113[.]64的C2服务器进行通信,并实现上述插件协议,从而能够快速在内存中传递数十个DLL模块。
底线
XWorm 的生命周期——从积极开发到被放弃,再到以新卖家和木马破解版本的形式重新出现——提醒我们,恶意软件是一个生态系统。即使原作者消失,他们的代码也可能被他人分叉、武器化和重新部署。因此,防御者必须专注于制定弹性控制和检测策略,并假设攻击者会重复使用和重新打包现有的工具集。
