查看: 3855|回复: 19
收起左侧

[分享] 对抗再升级,“Xidu”新变种利用云笔记平台躲避检测

[复制链接]
火绒工程师
发表于 2023-7-10 18:14:22 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2023-7-11 18:34 编辑

火绒威胁情报系统监测到,后门病毒 “Xidu” 最新变种正在大范围传播。这是该病毒继今年2月出现变种后,短期内又出现的新变种。此次捕获到的新变种具有更强的对抗性和隐蔽性:新增多项免杀手段,同时利用某云笔记平台作为传播媒介,以躲避安全软件的检测。除此之外,其伪装的文件名也紧跟热点,主要以“AI”为关键词诱骗受害者下载执行。对于该病毒及其相关变种,火绒安全产品可进行拦截、查杀。


                              
查杀图

该变种伪装的文件名从最初针对金融、证券业行业,更新为当下的AI热点,以“AI去衣电脑版安装包.exe” 等相关文件名引诱受害者下载执行。火绒安全实验室目前收集到关键词部分展示如下:


相关文件名

该变种新采用 “DDR” 技术来躲避检测——利用国内某知名云平台作为媒介,将带有恶意代码的压缩包文件托管于其中,以躲避安全软件在流量端的检测。当受害者执行该病毒后,病毒便会自动连接云笔记平台下载恶意压缩包,随后实施执行任意文件、远程控制等恶意行为。同时,新变种在原有的多层PE调用流的基础上还添加了虚拟机保护,OLLVM混淆等免杀对抗手段躲避查杀,具有更强的对抗性和隐蔽性。



利用某云笔记平台作为传播媒介

据火绒威胁情报系统显示,该新变种自4月出现,并于5月持续传播至今。截至目前,病毒作者托管于云平台的病毒文件也还在持续更新中。

传播趋势

火绒工程师认为,“Xidu”后门病毒背后的病毒团伙非常活跃,预计后续还会持续更新其变种以及对抗手段、诱骗手段、传播策略,以确保其传播持久性。考虑到近期通过伪装成正常文件进行传播的病毒也层出不穷,我们建议广大用户,对陌生人发送的文件或可执行程序保持警惕,如有必要先使用安全软件扫描后再使用。

注:“DDR”(Dead Drop Resolvers)是一种攻击者使用合法外部网站来承载命令和控制服务器(C2)信息的技术,攻击者通常利用该技术来绕过安全软件的流量检测。

相关内容:
《后门病毒利用“白加黑”躲避查杀 可随意操控用户电脑》
https://www.huorong.cn/info/1679311134999.html
《黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重》
https://www.huorong.cn/info/16796595861002.html

一、样本分析

本次检测的最新变种病毒执行流程如下所示:

变种执行流程

该病毒在3月份火绒实验室报道的第一次变种基础上还套上了 VMP 保护壳以及进行了 OLLVM 混淆处理,极大地干扰安全分析人员的分析进度。

  
套用 VMP 壳
  
OLLVM混淆

在规避检测方面,除了以往的 IsDebuggerPresent 探测外还增加了对 virtualbox 软件的检测以及替换进程异常处理这两种反调试技术。
  
反调试

在字符串处理中,部分字符串动态的解密操作中,除了原先的异或外,该变种还加上了双层 base64 解密操作。

  
双层 base64 解密

在执行过程中,该病毒会在C 盘根目录下生成并创建8 位由大写字母组成的随机文件名。后面从远端服务器上下载的恶意压缩包并重命名为 cc.dd 存放到该目录下。与以往不同的是,其在解压释放和执行完后续操作之后,会进行自我删除,以增强隐蔽性。

  
文件操作
在连接托管的仓库之前,其会先通过base64 和移位算法等解密方式把攻击者的仓库 ID 提取出来,并用于在后面的 URL 拼接中附上该ID值连接到指定的攻击者仓库配置文件中。

  
解密存储仓 ID 并拼接

在获取到服务器返回的json配置文件后,过滤出对应恶意压缩包的 ID 值进行指定下载。

  
拼接URL并下载

这是"Xidu" 病毒在免杀对抗中应用的新技术—— “DDR”(Dead Drop Resolvers)。截至到写稿前,其仓库的修改都为最新,可见作者仍在积极开发当中。

二、后续阶段
从托管云平台上下载的压缩包解压后的文件如下所示

压缩包内容

将本次病毒变种释放的Speedld.exe 执行流程和后续一系列操作与3月份火绒披露的 "Xidu" 病毒变种进行比较,发现改动较小,将不再重复分析,详细功能分析(详见:《黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重 》《后门病毒利用“白加黑”躲避查杀可随意操控用户电脑》)。

  
样本对比
三、附录
C&C

HASH

   

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
anthonyqian + 3
yy688go + 1 版区有你更精彩: )

查看全部评分

Jirehlov1234
发表于 2023-7-10 18:26:12 | 显示全部楼层
放图片就算了,打码就过分了吧,这也不是携带机密信息的APT样本
有道云谁看不出来

评分

参与人数 1人气 +1 收起 理由
swizzer + 1

查看全部评分

Jerry.Lin
发表于 2023-7-10 21:19:55 | 显示全部楼层
Hash为什么打码
av_lab
发表于 2023-7-10 21:32:22 | 显示全部楼层
为了表示火绒首杀?打码不给其他厂家偷hash入库的机会?
dght432
发表于 2023-7-10 22:35:02 来自手机 | 显示全部楼层
打码啊,6(
swizzer
发表于 2023-7-10 23:26:27 | 显示全部楼层
本帖最后由 swizzer 于 2023-7-10 23:41 编辑

后两个hash的打码给我看笑了

6a0df27f8a774bbe0b19414be601e977c25c36e501e74dab9d21c3158034052f

https://www.upload.ee/files/15432204/HRsb.zip.html
pal家族
发表于 2023-7-11 01:16:43 | 显示全部楼层
绒儿· 格局小了
dfqz2016667
头像被屏蔽
发表于 2023-7-11 08:42:20 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
你开心就好
发表于 2023-7-11 09:04:34 | 显示全部楼层

过度谨慎
联想到前些天法院判决
pal家族
发表于 2023-7-11 09:19:43 | 显示全部楼层
本帖最后由 pal家族 于 2023-7-11 15:55 编辑
你开心就好 发表于 2023-7-11 09:04
过度谨慎
联想到前些天法院判决

嗨呀,其实不放出哈希也没关系的。
但你看后面两个哈希
我不知道世界上有没有这个巧合 但是很多人都会觉得这是一种挑衅而不是玩笑。。。




本人以小人之心度君子之腹
深表羞愧
红豆泥私密马赛!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 21:47 , Processed in 0.153417 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表