XWorm 6.0新型变种:利用AMSI绕过与关键进程技术逃避检测并导致系统崩溃
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Netskope报告显示,新版XWorm 6.0具备复杂的持久化和反分析技术,威胁企业安全。该恶意软件通过VBScript传播,能够绕过AMSI扫描,标记为关键进程以防止用户终止,并具备环境感知能力,能识别沙箱环境并自行终止。
🎯
关键要点
- Netskope报告显示新版本XWorm 6.0具备复杂的持久化和反分析技术,威胁企业安全。
- XWorm 6.0通过VBScript传播,可能利用社会工程学手段进行分发。
- 该恶意软件删除Zone.Identifier以隐藏下载来源,并下载PowerShell负载。
- XWorm 6.0采用高级AMSI绕过技术,直接操作内存以阻止恶意代码被检测。
- 恶意软件标记为关键进程,防止用户在无管理员权限下终止,强制关闭会导致系统崩溃。
- XWorm 6.0具备环境感知能力,能识别沙箱环境并自行终止进程。
❓
延伸问答
XWorm 6.0的主要威胁是什么?
XWorm 6.0具备复杂的持久化和反分析技术,威胁企业安全。
XWorm 6.0是如何传播的?
XWorm 6.0通过VBScript传播,可能利用社会工程学手段进行分发。
XWorm 6.0如何绕过AMSI检测?
它通过直接操作内存,替换'AmsiScanBuffer'字符串来阻止AMSI扫描。
XWorm 6.0的关键进程保护机制有什么影响?
它标记为关键进程,防止用户在无管理员权限下终止,强制关闭会导致系统崩溃。
XWorm 6.0如何避免在沙箱环境中被分析?
它具备环境感知能力,能识别沙箱环境并自行终止进程。
XWorm 6.0的持久化机制是什么?
它通过将自身复制到TEMP和APPDATA目录,并添加到Windows Run注册表项实现持久化。
➡️
