吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9490|回复: 113
上一主题 下一主题
收起左侧

[PC样本分析] 黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重

   关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2023-3-24 20:19 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-3-24 20:24 编辑

近日,我们收到多名用户反馈,有黑客团伙通过微信等即时通讯途径公然投递病毒,主要目标为金融、证券行业。经火绒工程师分析发现,此次病毒为日前火绒披露的后门病毒“Xidu”的变种。此次攻击事件涉及的“Xidu”病毒变种于今年2月出现,在近日快速传播,短期内又出现新变种,可见该黑客团伙异常活跃,不排除后续持续作恶的可能,请广大用户时刻保持警惕。


  

传播趋势图



该黑客团伙伪装成客户,向受害目标发送带有病毒的文档或者录像文件,诱导受害目标打开,随后实施窃取信息等恶意行为,如下图:



黑客团伙诱导用户打开文档



黑客团伙投递的病毒文件名均使用行业关键词,极具有欺骗性。火绒安全实验室目前收集到关键词如下图所示:





相关关键词




此次火绒捕获到的多个“Xidu”变种样本,针对安全软件的免杀对抗进行了再升级,通过多层PE调用流的形式来保护其核心病毒模块,隐蔽性更强。病毒运行后会加载收集用户信息、读取键盘记录,并可随时远程控制受害者电脑。 此次黑客团伙通过诱导、欺骗等方式投递病毒,对用户造成严重威胁。火绒工程师提醒用户,谨慎使用陌生人发送的文件或可执行程序,如有必要先使用安全软件扫描后再使用。火绒安全产品可对“Xidu”后门病毒及其新变种进行拦截查杀,请用户及时更新病毒库以进行防御。



查杀图


一、样本分析



新变种病毒的执行流程,如下图所示:



新变种的执行流程


恶意模块“证券20日日均净资产证明文件.exe”启动后,会从C&C服务器中下载1.dd压缩包并释放恶意文件到C:\ProgramData\目录下,相关代码,如下图所示:




下载1.dd并解压



压缩包的内容,如下图所示:



压缩包内容



释放出恶意文件后,将SpeedId.exe重命名为随机名并运行,相关代码如下图所示:



运行Speedld.exe



在恶意模块Speedld.exe中,将所有使用到的字符串都进行xor加密,使用时动态解密,如下图所示:





字符串加密



在恶意模块Speedld.exe中,会加载Antikk.dll,如下图所示:





调用Antikk.dll



在Antikk.dll会读取xm.xml的内容并进行解密得到Xidu后门病毒核心模块,如下图所示:



解密Xidu



调用Xidu导出函数shisanfeng,相关代码,如下图所示:



调用导出函数shisanfeng






将xm.xml模块和之前Xidu病毒进行对比,发现该模块为Xidu最新变种,功能对比,如下图所示:





功能进行对比



由于新变种功能和老版本相差不大,将不再继续进行分析,详细功能分析(详见:https://huorong.cn/info/1679311134999.html)。



、附录




C&C




HASH



免费评分

参与人数 48吾爱币 +33 热心值 +42 收起 理由
狗娃少将 + 1 人是最大的漏洞
snowhee + 1 + 1 谢谢@Thanks!
cshadow + 1 + 1 用心讨论,共获提升!
dyzez + 1 我很赞同!
JinxBoy + 1 谢谢@Thanks!
kkni + 1 我很赞同!
kanbekotaro + 1 用心讨论,共获提升!
hanlaoshi + 1 + 1 谢谢@Thanks!
chenfo + 1 + 1 谢谢@Thanks!
jianghuai + 1 + 1 我很赞同!
Hkk1346l + 1 + 1 热心回复!
weidechan + 1 + 1 用心讨论,共获提升!
4461294 + 1 谢谢@Thanks!
wfone + 1 + 1 用心讨论,共获提升!
swansfight + 1 谢谢@Thanks!
2792971460 + 1 用心讨论,共获提升!
SSBB007 + 1 热心回复!
David13738 + 1 热心回复!
一个电脑小白 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zxbbddp + 1 我很赞同!
xiaohanjss + 1 + 1 我很赞同!
hellozhanghe + 1 + 1 热心回复!
ortenaus + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lolamb + 1 我很赞同!
抱薪风雪雾 + 1 + 1 谢谢@Thanks!
nshark + 1 + 1 谢谢@Thanks!
wuai666hjp + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
frankdaye + 1 + 1 用心讨论,共获提升!
bingbingbd + 1 + 1 我很赞同!
lengz123 + 1 + 1 我很赞同!
xxxlsy + 1 + 1 热心回复!
youga777 + 1 我很赞同!
VXORBY + 1 + 1 谢谢@Thanks!
tcs666 + 1 + 1 热心回复!
zhang120300 + 1 我很赞同!
孔乙己已 + 1 + 1 我很赞同!
haggi + 1 用心讨论,共获提升!
ayu1314 + 1 + 1 用心讨论,共获提升!
那些年打的飞机 + 1 + 1 谢谢@Thanks!
SPT + 1 + 1 我很赞同!
清末明初666 + 1 热心回复!
guhu + 1 我很赞同!
LonelyCrow + 1 + 1 谢谢@Thanks!
apples1949 + 1 我很赞同!
geforce2009 + 1 + 1 password:caonima 哈哈哈哈
liudeliu + 1 已经处理,感谢您对吾爱破解论坛的支持!
努力的小七 + 1 + 1 用心讨论,共获提升!
夜月里的星光 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
alidiudiu 发表于 2023-3-24 21:33
20年前的套路了,还能中招真是贻笑大方。看来贵公司应该是个小工作室,没有岗前培训,智商堪忧。截屏是手机端,即使点了exe也没反应,怎么会搬到电脑上点击呢?没文化真可怕。。。
推荐
loveyao6688 发表于 2023-3-24 21:52
都是电脑的.exe可执行程序,手机点了没反应吧。而且图片文档啥的后缀是exe难倒就不觉得可疑么?
推荐
dengqigang12 发表于 2023-3-24 21:51
自从360免费后,就见一个勒索病毒疯狂了一段时间。
推荐
henry307 发表于 2023-3-24 20:27
骗子套路满满,厉害,分析很详细
6#
呱呱生 发表于 2023-3-24 20:30
不是360吗?
7#
Antigen 发表于 2023-3-24 20:34
支持火绒
8#
JW5120 发表于 2023-3-24 21:16
我去这种抓到了直接卸胳膊
9#
吾爱蛋蛋 发表于 2023-3-24 21:22
感谢分享啊
10#
wapjdongge 发表于 2023-3-24 21:42
看着不错啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表