XWorm 6.0 .. نسخة جديدة بقدرات هجومية متقدمة لمقاومة التحليل والحماية الذاتية

XWorm 6.0 .. نسخة جديدة بقدرات هجومية متقدمة لمقاومة التحليل والحماية الذاتية
XWorm 6.0 .. نسخة جديدة بقدرات هجومية متقدمة لمقاومة التحليل والحماية الذاتية
شارك هذا الخبر

أعلنت مختبرات Netskope Threat Labs عن ظهور نسخة مطوّرة من برمجية التحكم عن بُعد المعروفة باسم XWorm (الإصدار 6.0)، والتي جاءت بتحديثات متقدمة لتعزيز مقاومة التحليل الأمني، وتحسين قدرات الاستمرارية (Persistence)، إضافة إلى تجاوز آليات كشف البرمجيات الخبيثة (AMSI).

سلسلة العدوى وآلية الهجوم

تبدأ عملية الإصابة بسكربت Visual Basic Script (VBS) يُوزَّع عادةً عبر حملات هندسة اجتماعية تستدرج المستخدمين إلى تشغيله. يقوم السكربت بإنشاء نقاط ثبات في النظام (Persistence) ثم ينزّل محمل PowerShell مسؤولًا عن جلب الحمولة الرئيسية لبرمجية XWorm 6.0 من مستودعات عامة على الإنترنت مثل GitHub. وتُنفذ معظم مراحل العدوى في الذاكرة، مما يجعل اكتشافها بواسطة برامج مكافحة الفيروسات التقليدية أكثر صعوبة.

تقنيات التهرب وتجاوز الدفاعات الأمنية

أحد أبرز التحسينات في هذه النسخة هو إضافة آلية لتجاوز Antimalware Scan Interface (AMSI) عبر تعديل مكتبة CLR.DLL في الذاكرة أثناء التشغيل. هذا الأسلوب، المعروف باسم “التصحيح في الذاكرة” (In-Memory Patching)، يسمح بتعطيل آليات الفحص في بيئة .NET دون ترك أي آثار على القرص، وهو تكتيك شائع في البرمجيات الخبيثة المتقدمة التي تسعى لتجنب الاكتشاف.

الحماية الذاتية ومنع التحليل في بيئات وهمية

تتضمن النسخة الجديدة من XWorm وظيفة حماية ذاتية ضد الإيقاف القسري من خلال تمييز نفسها كـ عملية حرجة (Critical Process)، ما يجعل محاولة إنهائها تؤدي إلى انهيار النظام أو إعادة تشغيله. كما أن البرمجية مُبرمجة لتتوقف تلقائيًا في حال اكتشفت تشغيلها على أنظمة Windows XP، في محاولة لمنع الباحثين الأمنيين من تحليلها داخل بيئات افتراضية قديمة أو صناديق رملية (Sandbox).

قراءة في الخلفيات التقنية والدلالات الأمنية

تُظهر التطويرات الأخيرة أن مطوّري XWorm يسعون إلى جعل البرمجية أكثر قدرة على البقاء غير مرصودة لفترات طويلة داخل الأنظمة المصابة، مع تحسين تقنيات التحكم عن بُعد وجمع البيانات. ويُعتقد أن استضافة الحمولات على منصات عامة مثل GitHub تهدف إلى إخفاء حركة الاتصالات داخل المرور المشروع لشبكات المؤسسات.

كما يشير تعديل مكتبة CLR.DLL إلى توجه متزايد نحو الهجمات التي تستغل الذاكرة بدل الملفات (Fileless Attacks)، وهو اتجاه تصاعدي في مشهد التهديدات السيبرانية خلال السنوات الأخيرة، خاصة بين البرمجيات الخبيثة التي تستهدف بيئات المؤسسات وأنظمة الويندوز الحديثة.

توصيات للفرق الأمنية

  • مراقبة نشاط PowerShell والسكربتات غير الموقعة بشكل دقيق.

  • تفعيل وضع “Constrained Language Mode” للحد من أوامر PowerShell الخطرة.

  • رصد أي محاولات لتعديل مكتبات النظام أثناء التشغيل، خاصة CLR.DLL.

  • تقليل صلاحيات المستخدمين ومنع تحميل ملفات VBS أو PowerShell من مصادر خارجية.

  • إنشاء نسخ ذاكرة احتياطية (Memory Dumps) عند الاشتباه في العدوى لتحليلها رقميًا.

وسوم
محمد طاهر
محمد طاهر
المقالات: 903

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة