Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

XWorm в .NET: UEFI-буткит, руткит и zero-day UAC

3 мин
Исследование .NET binary, изначально маскировавшегося под обычный шифровальщик, показало, что на деле он использовался для извлечения двойной payload для XWorm (RAT). По данным отчета, вредоносная нагрузка сочетает сразу несколько опасных возможностей: UEFI bootkit, rootkit-функциональность и zero-day UAC bypass, связанный с CVE-2026-20817. При декомпиляции выяснилось, что логика шифровальщика уместилась всего в примерно пятидесяти строках C#. Для сокрытия payload XWorm использовались PBKDF2 для получения ключа и AES для шифрования. При этом извлеченные образцы соответствуют двум различным версиям архитектуры: 64-bit варианту с plaintext identifiers и 32-bit obfuscated варианту. Анализ показал, что payload XWorm обладает набором функций, характерных для хорошо подготовленного и устойчивого к обнаружению вредоносного ПО. Среди наиболее опасных возможностей — вмешательство в процесс загрузки системы, скрытие присутствия в Windows и повышение привилегий до уровня SYSTEM. Отдельное внимани
Оглавление

Исследование .NET binary, изначально маскировавшегося под обычный шифровальщик, показало, что на деле он использовался для извлечения двойной payload для XWorm (RAT). По данным отчета, вредоносная нагрузка сочетает сразу несколько опасных возможностей: UEFI bootkit, rootkit-функциональность и zero-day UAC bypass, связанный с CVE-2026-20817.

При декомпиляции выяснилось, что логика шифровальщика уместилась всего в примерно пятидесяти строках C#. Для сокрытия payload XWorm использовались PBKDF2 для получения ключа и AES для шифрования. При этом извлеченные образцы соответствуют двум различным версиям архитектуры: 64-bit варианту с plaintext identifiers и 32-bit obfuscated варианту.

Что умеет извлеченный XWorm

Анализ показал, что payload XWorm обладает набором функций, характерных для хорошо подготовленного и устойчивого к обнаружению вредоносного ПО. Среди наиболее опасных возможностей — вмешательство в процесс загрузки системы, скрытие присутствия в Windows и повышение привилегий до уровня SYSTEM.

  • UEFI bootkit — предназначен для компрометации целостности firmware и закрепления на уровне загрузки;
  • r77 rootkit — скрывает процессы и файлы, внедряясь во все запущенные процессы каждые пять секунд;
  • driver infection — модифицирует Windows kernel drivers, добавляя вредоносную payload в PE sections;
  • zero-day privilege escalation через Windows Error Reporting (WER) — позволяет выполнять команды с системными правами без взаимодействия с пользователем.

UEFI bootkit и устойчивость к переустановке

Отдельное внимание исследователи уделили механизмам bootkit. По их данным, XWorm использует обход BlackLotus DBX и другие exploit-механизмы, чтобы манипулировать процессом загрузки системы. Вредоносный код размещается в системном EFI partition, а также вносит изменения в MBR, что позволяет перенаправлять стандартную последовательность загрузки.

Такая архитектура делает угрозу особенно опасной: вредоносное ПО может сохраняться даже после переустановки operating system.

Обход защит и скрытность

На начальном этапе исполнения XWorm собирает Hardware IDs, а затем запускает цепочку действий, направленных на подавление защитных механизмов. В частности, речь идет о патчинге функций безопасности, включая AMSI, и эффективном отключении Windows Defender.

Кроме того, вредоносное ПО использует методы уклонения, рассчитанные на обход сигнатурного детектирования. Один из приемов — вставка нежелательных комментариев в команды PowerShell, чтобы усложнить анализ и снизить вероятность срабатывания средств защиты.

Командование и контроль: уязвимость в TLS 1.2

Инфраструктура command and control XWorm использует TCP connection с TLS 1.2, но без проверки certificate. Это создает риск man-in-the-middle (MITM) атак, поскольку соединение не защищено полноценной валидацией сертификата.

По сути, отсутствие проверки certificate ослабляет доверие к каналу связи и делает его уязвимым для перехвата и подмены трафика.

Закрепление в системе

XWorm применяет сразу несколько механизмов persistence, чтобы оставаться активным после reboot:

  • scheduled tasks;
  • registry hijacking;
  • bootkit mechanisms.

Модульная архитектура вредоносной программы позволяет ей адаптироваться под конкретные задачи. При необходимости удаленно могут быть загружены и запущены дополнительные компоненты, включая keylogger и file manager.

IOC и значение для защиты

Отчет подчеркивает важность быстрой идентификации Indicators of Compromise (IOCs). Среди них называются:

  • уникальные registry keys;
  • наличие специфических scheduled tasks;
  • нетипичная naming convention в payloads.

Своевременное обнаружение этих признаков может сыграть ключевую роль в сдерживании инфекции и предотвращении дальнейшего распространения угрозы.

Вывод

Этот вариант XWorm демонстрирует высокий уровень сложности и явный уклон в сторону stealth, persistence и privilege escalation. Совокупность техник — от UEFI bootkit до rootkit-механизмов и zero-day UAC bypass — делает угрозу особенно опасной для организаций и пользователей, которым необходимы комплексные меры защиты и постоянный мониторинг среды.

Вывод отчета однозначен: в сообществе, связанном с Cybersecurity, требуется повышенная бдительность, а также оперативное выявление IOCs и усиление defensive controls.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "XWorm в .NET: UEFI-буткит, руткит и zero-day UAC".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются