吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6752|回复: 43
收起左侧

[PC样本分析] 对抗再升级,“Xidu”新变种利用云笔记平台躲避检测

   关闭 [复制链接]
火绒安全实验室 发表于 2023-7-10 17:55
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-7-11 18:33 编辑

火绒威胁情报系统监测到,后门病毒 “Xidu” 最新变种正在大范围传播。这是该病毒继今年2月出现变种后,短期内又出现的新变种。此次捕获到的新变种具有更强的对抗性和隐蔽性:新增多项免杀手段,同时利用某云笔记平台作为传播媒介,以躲避安全软件的检测。除此之外,其伪装的文件名也紧跟热点,主要以“AI”为关键词诱骗受害者下载执行。对于该病毒及其相关变种,火绒安全产品可进行拦截、查杀。



Image-0.png          

查杀图





该变种伪装的文件名从最初针对金融、证券业行业,更新为当下的AI热点,以“AI去衣电脑版安装包.exe” 等相关文件名引诱受害者下载执行。火绒安全实验室目前收集到关键词部分展示如下:

Image-1.png

相关文件名




该变种新采用 “DDR” 技术来躲避检测——利用国内某知名云平台作为媒介,将带有恶意代码的压缩包文件托管于其中,以躲避安全软件在流量端的检测。当受害者执行该病毒后,病毒便会自动连接云笔记平台下载恶意压缩包,随后实施执行任意文件、远程控制等恶意行为。同时,新变种在原有的多层PE调用流的基础上还添加了虚拟机保护,OLLVM混淆等免杀对抗手段躲避查杀,具有更强的对抗性和隐蔽性。




Image-2.png

利用某云笔记平台作为传播媒介





据火绒威胁情报系统显示,该新变种自4月出现,并于5月持续传播至今。截至目前,病毒作者托管于云平台的病毒文件也还在持续更新中。




Image-3.png

传播趋势





火绒工程师认为,“Xidu”后门病毒背后的病毒团伙非常活跃,预计后续还会持续更新其变种以及对抗手段、诱骗手段、传播策略,以确保其传播持久性。考虑到近期通过伪装成正常文件进行传播的病毒也层出不穷,我们建议广大用户,对陌生人发送的文件或可执行程序保持警惕,如有必要先使用安全软件扫描后再使用。 注:“DDR”(Dead Drop Resolvers)是一种攻击者使用合法外部网站来承载命令和控制服务器(C2)信息的技术,攻击者通常利用该技术来绕过安全软件的流量检测。







相关内容:

《后门病毒利用“白加黑”躲避查杀 可随意操控用户电脑》

https://www.huorong.cn/info/1679311134999.html

《黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重》

https://www.huorong.cn/info/16796595861002.html







一、样本分析



本次检测的最新变种病毒执行流程如下所示:





Image-4.png

变种执行流程



该病毒在3月份火绒实验室报道的第一次变种基础上还套上了 VMP 保护壳以及进行了 OLLVM 混淆处理,极大地干扰安全分析人员的分析进度。




Image-5.png   

套用 VMP 壳




Image-6.png   


OLLVM混淆



在规避检测方面,除了以往的 IsDebuggerPresent 探测外还增加了对 virtualbox 软件的检测以及替换进程异常处理这两种反调试技术。


Image-7.png   

反调试




在字符串处理中,部分字符串动态的解密操作中,除了原先的异或外,该变种还加上了双层 base64 解密操作。





Image-8.png   

双层 base64 解密





在执行过程中,该病毒会在C 盘根目录下生成并创建8 位由大写字母组成的随机文件名。后面从远端服务器上下载的恶意压缩包并重命名为 cc.dd 存放到该目录下。与以往不同的是,其在解压释放和执行完后续操作之后,会进行自我删除,以增强隐蔽性。




Image-9.png

  文件操作




在连接托管的仓库之前,其会先通过base64 和移位算法等解密方式把攻击者的仓库 ID 提取出来,并用于在后面的 URL 拼接中附上该ID值连接到指定的攻击者仓库配置文件中。




Image-10.png   

解密存储仓 ID 并拼接




在获取到服务器返回的json配置文件后,过滤出对应恶意压缩包的 ID 值进行指定下载。




Image-11.png   

接URL并下载







这是"Xidu" 病毒在免杀对抗中应用的新技术—— “DDR”(Dead Drop Resolvers)。截至到写稿前,其仓库的修改都为最新,可见作者仍在积极开发当中。



二、后续阶段



从托管云平台上下载的压缩包解压后的文件如下所示


Image-12.png   

压缩包内容



将本次病毒变种释放的Speedld.exe 执行流程和后续一系列操作与3月份火绒披露的 "Xidu" 病毒变种进行比较,发现改动较小,将不再重复分析,详细功能分析(详见:《黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重 》《后门病毒利用“白加黑”躲避查杀可随意操控用户电脑》)。


Image-13.png   



样本对比




三、附录



C&C


Image-14.png


HASH

2.png
   

免费评分

参与人数 25吾爱币 +22 热心值 +22 收起 理由
内存空间不足 + 1 我很赞同!
进击的喵星人 + 1 我很赞同!
UCLA + 1 + 1 我很赞同!
林伊轩 + 1 太强了
13044821 + 1 谢谢@Thanks!
DreamStars + 1 + 1 我很赞同!
jyys1860 + 1 谢谢@Thanks!
仰望空调的兔子 + 1 + 1 我很赞同!
shubaowang + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
笨蛋蛋 + 1 + 1 用心讨论,共获提升!
00xin + 1 + 1 用心讨论,共获提升!
FDE9 + 1 + 1 谢谢@Thanks!
CODE003 + 1 我很赞同!
xiawenqiwa + 1 + 1 热心回复!
weidechan + 1 + 1 谢谢@Thanks!
Him8848 + 1 + 1 不愧是火绒安全
吾爱海豚 + 1 + 1 我很赞同!
hanlaoshi + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 谢谢@Thanks!
tanhaibigg + 1 + 1 谢谢@Thanks!
ACBur + 1 + 1 牛逼666
xxxlsy + 1 + 1 热心回复!
52shuqi + 1 + 1 我很赞同!
弑神者91511 + 1 + 1 用心讨论,共获提升!
GMCN + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

klxn0-0 发表于 2023-7-10 18:01
不明来源的exe,谨慎打开
snuowen 发表于 2023-7-11 16:15
我何德何能让骗子这么对我啊,我的钱总共还不够他写代码挣得多。
不过还是希望多加警惕,少从来历不明的渠道下载软件,从根本上避免病毒的传播;安装专门的杀毒软件,从途径上阻断病毒的扩散;少把重要文件保留于电子设备,让病毒无处可用!
wp19910107 发表于 2023-7-10 18:03
安装火绒,势在必行。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
ind + 1 + 1 我很赞同!

查看全部评分

lcg888 发表于 2023-7-10 18:23
自从有了火绒放心多了
ZQQC 发表于 2023-7-10 18:57
火绒把关,安全放心
BAllen007 发表于 2023-7-10 19:11
太专业了
li000yu 发表于 2023-7-10 19:49
厉害,很及时!
Rockyking 发表于 2023-7-10 21:28
厉害111111
cpteling 发表于 2023-7-10 21:42
卧槽,官方号
XueSec0re 发表于 2023-7-10 21:56
有道吗, 好像看出了url
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表