Analyse af Xworm RAT
Xworm er stadig en af de mest persistente malware familier og indtager også let en plads i top 10 over de hyppigst observerede trusler i 2023 i følge bl.a. Virustotal og ANYRUN.
Inficerer typisk via e-mails
Den fodres typisk til Microosoft Windows systemer via e-mails med en vedhæftning og en payload via f.eks. en Windows Genvej (lnk) pakket i et arkiv. Hvis den binære kode eksekveres så spawnes en powershell med optionen "ExecutionPolicy Bypass".
I de seneste kampagner vil den gøre brug af en vilkårlig WebDav service til at hente Xworm ned og afvikle den lokalt. Det sker bl.a. igennem "BatLoader" der som navnet antyder er en batch fil der køres som downloader.
EvilCoder
Xworm udvikles og sælges af "EvilCoder" og han tilbyder en livstidslang licens for $400. Den seneste version af Xworm er v4.2. Den kommer så også med løbende opdateringer og support.
En ældre udgave (version 3.1) findes tilgængelig i en cracked version hvor licensen er blevet fjernet. Se skærmdump af "builder" herunder, der kører i min VM:
Xworm indeholder en sværm af funktionalitet, herunder sakset fra EvilCoder officielle "shop":
⭐️ Builder :
✅ | Schtasks - Startup - Registry | [Change Path]
✅ | Multi Dns - Change install Path |
✅ | TBotNotify - AntiKill - WDEX - Keylogger - Clipper - Sleep - Obfuscator |
✅ | AntiAnalysis - USB Spread - Icon - Assembly |
✅ | Icon Pack |
⭐️ Connection :
✅ | Stable Connection - Encrypted Connection - Encrypted Strings |
⭐️ Tools :
✅ | Check Port - Icon Changer - Multi Binder [Icon - Assembly - Obfuscator] |
✅ | Fud Downloader [HTA] - BlockClients |
⭐️ Features :
✅ Information
✅ Monitor [Mouse - Keyboard - AutoSave - Window]
✅ Run File [Disk - Link - Memory - Script - RunPE]
✅ WebCam [AutoSave]
✅ Microphone
✅ System Sound
✅ Open Url [Visible - Invisible]
✅ TCP Connections
✅ ActiveWindows
✅ StartupManager
✅ Registry Editor
✅ Process Manager
✅ Clipboard Manager
✅ Shell
✅ Installed Programs
✅ DDos Attack
✅ VB.Net Compiler
✅ Location Manager [GPS - IP]
✅ File Manager
✅ Client [Restart - Close - Uninstall - Update - Block - Note]
✅ Power [Shutdown - Restart - Logoff]
⭐️ Options :
✅ BlankScreen [Enable - Disable]
✅ TaskMgr [Enable - Disable]
✅ Regedit [Enable - Disable]
✅ UAC [Enable - Disable]
✅ Firewall [Enable - Disable]
✅ Windows Update [Enable - Disable]
✅ Invoke-BSOD
✅ ResetScale
✅ .Net 3.5 Install
✅ DeleteRestore
⭐️ Password Recovery :
✅ | Passwords - Cookies - CreditCards - Bookmarks - Downloads - Keywords - History - Autofill | [Chromium]
✅ | Passwords - Cookies - Bookmarks - History | [FireFox]
✅ | All-In-One - Discord Tokens - TelegramSession - ProductKey - MetaMask - InternetExplorer - FileZilla - Wifi Keys |
⭐️ Pastime :
✅ CD ROOM [Open - Close]
✅ DesktopIcons [Show - Hide]
✅ SwapMouse [Swap - Normal]
✅ TaskBar [Show - Hide]
✅ Screen [ON - OFF]
✅ Volume [Up - Down - MUTE]
✅ Start [Show - Hide]
✅ Clock [Show - Hide]
✅ Text Speak
✅ Explorer [Start - Kill]
✅ TrayNotify [Show - Hide]
🔆 Extra 1 :
✅ ReportWindow
✅ Performance
✅ Edit Hosts
✅ KeyLogger [Offline - Online]
✅ Client Chat
✅ FileSeacher
✅ Commands
✅ MessageBox / BallonTooltip
✅ UAC Bypass [RunAs - Cmstp]
🔆 Extra 2 :
✅ Reverse Proxy
✅ Ngrok Installer
✅ HVNC | CommandPrompt - PowerShell - explorer | | EdgeBrowser - BraveBrowser - FireFoxBrowser - ChromeBrowser | [CloneProfile]
✅ Hidden RDP
✅ Bot killer
✅ WDKiller
✅ WDDisable
✅ WDExclusion
🔆 Tasks :
✅ GetKeylogger
✅ Open Url [Visible - Invisible]
✅ Recovery [Passwords - Cookies]
✅ Run File [Disk - Link - Memory]
✅ DiscordToken
✅ TelegramSession
✅ MetaMask
✅ Update All Clients
🔆 New Features :
✅ Drag And Drop Files [File Manager - Monitor - HVNC]
✅ Run HVNC In Memory
✅ Copy / Paste Text [HVNC]
✅ FindClient
✅ Extract Video Thumbnail [File manager]
✅ Recovery Plugins Updated
✅ Vulnerability Fixed
✅ Support V5.0 Client
✅ FPS Counter
✅ Ping
✅ Change Groub Name
✅ Support All Systems
🔆 [ ✅ Lifetime - ✅ Support - ✅ Updates ]
⚙️ Requirements :
🔸 .Net Framework 4.5 [Controller]
🔸 .Net Framework 4.0 [Client]
⬆️ Size : 49.0 KB [Full Features]
Et
skærmdump af den seneste version 4.2 med kommandoer, som kan initieres,
når en kompromitteret maskine er i kontakt med RAT serveren, findes
herunder:
Som det fremgår betyder det bl.a. anvendelse af en Hidden VNC som kan bruges til at kører en komplet transparent realtidssession med den kompromitterede maskine. En person kan således sidde på den aktive windows maskine og arbejde i et separat vindue/VNC session uden brugeren kan se det. Det omgår behændigt 2FA/MFA.
Som det fremgår af funktionsbeskrivelsen, så understøtter Xworm også kryptering af trafik til C&C serveren. Når man modtager et sample (altså en kopi af en aktiv malware f..eks. fra en kompromitteret maskine) kan konfigurationen se således ud i en udpakket version.
Et andet eksempel herunder:
I løbet af den seneste uge har jeg observeret følgende aktive Xworm C&C servere (saniteret)
0.tcp.ap.ngrok[.]io
serverwindor.duckdns[.]org
androidmedallo.duckdns[.]org
septiembre2022.duckdns[.]org
Graxe239-61522.portmap[.]host:61522
rick63.publicvm[.]com
10.18.44[.]229:9017
10.2.38[.]48:8000
15.228.35[.]69
20.197.231[.]178
18.231.156[.]119
103.114.106[.]183
blackid-48194.portmap[.]host
4Mekey.myftp[.]biz
miles-c.at.ply[.]gg
180.ip.ply[.]gg
topics-junior.at.ply[.]gg
xyoptotway.work[.]gd
fee-harmful.gl.at.ply[.]gg:41934
daddy.linkpc[.]net:7000
soon-lp.at.ply[.]gg:17209
139.99.153[.]82:8181
Alle domænerne og IP adresser herover kan med fordel blokkeres.
Flere end 100 maskiner i Danmark med Xworm
Jeg har pt kendskab til 119 Microsoft Windows maskiner i Danmark, som taler med Xworm C&C servere, der er blevet "sinkholet". Antallet af maskiner, som er ramt af Xworm i Danmark, og aktivt knyttet ind i et C&C netværk, er således betydeligt højere.