火絨威脅情報(bào)系統(tǒng)監(jiān)測到，后門病毒 “Xidu” 最新變種正在大范圍傳播。這是該病毒繼今年2月出現(xiàn)變種后，短期內(nèi)又出現(xiàn)的新變種。此次捕獲到的新變種具有更強(qiáng)的對抗性和隱蔽性：新增多項(xiàng)免殺手段，同時利用某云筆記平臺作為傳播媒介，以躲避安全軟件的檢測。除此之外，其偽裝的文件名也緊跟熱點(diǎn)，主要以“AI”為關(guān)鍵詞誘騙受害者下載執(zhí)行。對于該病毒及其相關(guān)變種，火絨安全產(chǎn)品可進(jìn)行攔截、查殺。

該變種偽裝的文件名從最初針對金融、證券業(yè)行業(yè)，更新為當(dāng)下的AI熱點(diǎn)，以 “AI去衣電腦版安裝包.exe” 等相關(guān)文件名引誘受害者下載執(zhí)行?；鸾q安全實(shí)驗(yàn)室目前收集到關(guān)鍵詞部分展示如下：

該變種新采用 “DDR” 技術(shù)來躲避檢測——利用國內(nèi)某知名云平臺作為媒介，將帶有惡意代碼的壓縮包文件托管于其中，以躲避安全軟件在流量端的檢測。當(dāng)受害者執(zhí)行該病毒后，病毒便會自動連接云筆記平臺下載惡意壓縮包，隨后實(shí)施執(zhí)行任意文件、遠(yuǎn)程控制等惡意行為。同時，新變種在原有的多層PE調(diào)用流的基礎(chǔ)上還添加了虛擬機(jī)保護(hù)，OLLVM混淆等免殺對抗手段躲避查殺，具有更強(qiáng)的對抗性和隱蔽性。

據(jù)火絨威脅情報(bào)系統(tǒng)顯示，該新變種自4月出現(xiàn)，并于5月持續(xù)傳播至今。截至目前，病毒作者托管于云平臺的病毒文件也還在持續(xù)更新中。

火絨工程師認(rèn)為，“XIdu”后門病毒背后的病毒團(tuán)伙非?；钴S，預(yù)計(jì)后續(xù)還會持續(xù)更新其變種以及對抗手段、誘騙手段、傳播策略，以確保其傳播持久性。考慮到近期通過偽裝成正常文件進(jìn)行傳播的病毒也層出不窮，我們建議廣大用戶，對陌生人發(fā)送的文件或可執(zhí)行程序保持警惕，如有必要先使用安全軟件掃描后再使用。

注：“DDR”（Dead Drop Resolvers）是一種攻擊者使用合法外部網(wǎng)站來承載命令和控制服務(wù)器（C2）信息的技術(shù)，攻擊者通常利用該技術(shù)來繞過安全軟件的流量檢測。

相關(guān)內(nèi)容：

《后門病毒利用“白加黑”躲避查殺 可隨意操控用戶電腦》

《黑客偽裝成客戶針對金融、證券業(yè)投毒 竊取信息危害嚴(yán)重》

一、樣本分析

本次檢測的最新變種病毒執(zhí)行流程如下所示：

該病毒在3月份火絨實(shí)驗(yàn)室報(bào)道的第一次變種基礎(chǔ)上還套上了 VMP 保護(hù)殼以及進(jìn)行了 OLLVM 混淆處理，極大地干擾安全分析人員的分析進(jìn)度。

在規(guī)避檢測方面，除了以往的 IsDebuggerPresent 探測外還增加了對 virtualbox 軟件的檢測以及替換進(jìn)程異常處理這兩種反調(diào)試技術(shù)。

在字符串處理中，部分字符串動態(tài)的解密操作中，除了原先的異或外，該變種還加上了雙層 base64 解密操作。

在執(zhí)行過程中，該病毒會在 C 盤根目錄下生成并創(chuàng)建 8 位由大寫字母組成的隨機(jī)文件名。后面從遠(yuǎn)端服務(wù)器上下載的惡意壓縮包并重命名為 cc.dd 存放到該目錄下。與以往不同的是，其在解壓釋放和執(zhí)行完后續(xù)操作之后，會進(jìn)行自我刪除，以增強(qiáng)隱蔽性。

在連接托管的倉庫之前，其會先通過 base64 和移位算法等解密方式把攻擊者的倉庫 ID 提取出來，并用于在后面的 URL 拼接中附上該ID值連接到指定的攻擊者倉庫配置文件中。

在獲取到服務(wù)器返回的json配置文件后，過濾出對應(yīng)惡意壓縮包的 ID 值進(jìn)行指定下載。

這是 "Xidu" 病毒在免殺對抗中應(yīng)用的新技術(shù)—— “DDR”（Dead Drop Resolvers）。截至到寫稿前，其倉庫的修改都為最新，可見作者仍在積極開發(fā)當(dāng)中。

二、后續(xù)階段

從托管云平臺上下載的壓縮包解壓后的文件如下所示

將本次病毒變種釋放的 Speedld.exe 執(zhí)行流程和后續(xù)一系列操作與3月份火絨披露的 "Xidu" 病毒變種進(jìn)行比較，發(fā)現(xiàn)改動較小，將不再重復(fù)分析，詳細(xì)功能分析（詳見：《黑客偽裝成客戶針對金融、證券業(yè)投毒 竊取信息危害嚴(yán)重 》，《后門病毒利用“白加黑”躲避查殺 可隨意操控用戶電腦》）。

三、附錄

C&C

HASH