В мире вредоносного ПО часто встречаются образцы, которые на первый взгляд выглядят как рядовые и не представляющие особого интереса. Однако за их простой внешней оболочкой может скрываться целый арсенал продвинутых техник атаки, способных поставить под угрозу безопасность даже хорошо защищённых систем. Один из таких случаев, недавно попавший в поле зрения аналитиков, демонстрирует, как стандартный .NET-шифровальщик (crypter) оказался контейнером для двух экземпляров трояна XWorm RAT, наделённых исключительно опасным функционалом, включая буткит для UEFI, руткит, модуль заражения драйверов и эксплуатацию уязвимости нулевого дня для обхода контроля учётных записей (UAC).
Описание
Исходный файл, представлявший собой исполняемый .NET-сборник размером около 930 КБ, при первичном автоматическом анализе был оценён как малозначительный. Высокая энтропия в секции .text и единственный импорт из mscoree.dll указывали на типичный шифровальщик, скрывающий свой полезный код. Однако ручной статический анализ полностью изменил эту картину. После декомпиляции выяснилось, что логика шифрования умещается всего в пятьдесят строк кода на C#, причём все криптографические параметры - пароль PBKDF2, соль для AES и вектор инициализации (IV) - хранились в открытом виде. Это позволило без труда извлечь два вшитых в ресурсы исполняемых файла, оба из которых оказались различными сборками трояна удалённого доступа XWorm.
Исследователи, детально изучившие документ с полным разбором образца, отмечают, что само по себе извлечение двух полезных нагрузок из слабо защищённого криптера уже могло бы стать отдельной заметкой. Однако настоящей неожиданностью стало содержимое самих XWorm-сборок. Декомпиляция их исходного кода, который не был обфусцирован в 64-битной версии, выявила набор возможностей, редко встречающийся в одном образце. В арсенале троянца обнаружились модуль для внедрения буткита в UEFI с обходом базы отозванных образов DBX (по аналогии с техникой, использованной в BlackLotus), пользовательский руткит r77 для сокрытия процессов и файлов, механизм заражения легитимных драйверов Windows, а также эксплойт для уязвимости нулевого дня, получившей идентификатор CVE-2026-20817, позволяющий повысить привилегии до уровня SYSTEM без взаимодействия с пользователем.
Анализ цепи атаки показывает её высокую сложность и многоэтапность. После запуска криптер выполняет социальную инженерию, отображая окно с фейковой ошибкой, и отключает защиту Microsoft Defender, добавляя в исключения системные пути. Затем он расшифровывает и запускает оба экземпляра XWorm - 64- и 32-битный, что повышает живучесть вредоноса. Основная нагрузка, в свою очередь, начинает свою работу с попытки повышения привилегий через уязвимость в службе отчётов об ошибках Windows (Windows Error Reporting). Эксплойт использует механизм ALPC (Advanced Local Procedure Call) для отправки специального сообщения службе, что приводит к выполнению произвольной команды от имени системы. В данном случае команда отключает UAC, полностью деактивирует Defender и перезапускает троянец с правами администратора.
Следующим этапом становится патчинг системных механизмов безопасности в памяти. Код троянца принудительно загружает библиотеку amsi.dll, если она ещё не загружена, и с помощью техники динамического вызова API (D/Invoke) накладывает патчи на функции AmsiScanBuffer и EtwEventWrite. Это фактически отключает сканирование на лету (AMSI) и телеметрию событий Windows (ETW), что серьёзно затрудняет обнаружение вредоносной активности современными системами защиты (EDR). Параллельно запускается модуль руткита r77, который внедряет свою библиотеку во все запущенные процессы, скрывая присутствие троянца в системе.
Наиболее сложным и опасным компонентом является модуль буткита для UEFI. Его задача - обеспечить сохранение вредоноса даже после переустановки операционной системы. Алгоритм его работы включает попытку очистки базы отозванных образов DBX, что могло бы позволить загрузить скомпрометированные компоненты, использование уязвимостей в парсере изображений прошивки (аналогично атаке LogoFAIL) и установку собственного загрузчика в системный раздел EFI (ESP). Для систем с устаревшим BIOS предусмотрен путь через перезапись главной загрузочной записи (MBR). Кроме того, вредонос использует целых пять различных механизмов persistence для закрепления в самой ОС, от классических заданий в планировщике задач до модификации ключей реестра, связанных с загрузкой.
Отдельного внимания заслуживает модуль заражения драйверов. Он не загружает сторонний драйвер, что могло бы вызвать подозрения, а модифицирует существующие, но редко используемые драйверы ядра Windows (такие как null.sys или beep.sys), добавляя в них новые секции с вредоносным кодом. Это позволяет троянцу работать на уровне ядра, получая практически неограниченный доступ к системе. В сочетании с продвинутым антивиртуальным окружением, которое проверяет наличие признаков анализа в песочнице, и системой плагинов для динамической загрузки дополнительного функционала (кейлоггер, скриншотеры), данный образец XWorm представляет собой высокоадаптивную и крайне опасную угрозу. Этот случай наглядно демонстрирует, как заурядная на первый взгляд находка может оказаться сложным многоцелевым инструментом, требующим от специалистов по безопасности глубокого и всестороннего анализа.
Индикаторы компрометации
IPv4
- 195.10.205.179
MD5
- 4e4f12fc574559e8bf84bfe074f4cad5
SHA256
- 27a2505cfd32ca1fda31e58c1d2ddee7e4726b8305fda10b779851e259a2ef9d
- 3ac847a0e3137b7fe4b83a677bbb68ac2fa5043e276fa44d13b6c58be189f943
- 710e3226b214aa6d3ab65bb3d8899ea533bdfc6da28602328c5912567c9bcf0c
