节日期间某企业远程办公遭遇XRed病毒攻击

一、概述

受疫情影响，多个省市延长春节假期，一些企事业单位、互联网公司或推迟开工日期，或全员进行远程办公，一部分员工使用个人电脑临时替代工作电脑，增加了企业被感染的风险。
近日，腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁，希望腾讯安全协助处理。
接到求助后，腾讯安全工程师和该公司密切配合，快速梳理了相关信息，通过溯源发现是该企业在进行远程办公时，某位业务主管使用个人电脑办公，该电脑被XRed病毒感染，致使电脑EXE文件及电子表格文件均被病毒感染，通过内部工作群分享远程办公工具之后，造成该病毒在同事间扩散。
通过分析，腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地EXE文件及xlsx电子表格文件，病毒可通过文件分享和U盘、移动硬盘等媒介传播。
该企业因发现比较及时，使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后，已完美恢复被感染的文件，本次病毒攻击未对该企业造成重大影响。

二、病毒感染源排查

1.该公司前期内部排查：公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染，而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。
2.腾讯安全工程师对此进行了远程排查，发现怀疑感染病毒的电脑有如下现象：
（1）在该电脑上解压文件，发现解压出来的exe文件对比原始文件大，已被感染

（2）任意复制一个exe文件放到桌面上，exe文件都会被感染，感染后文件描述被修改成触摸板设备驱动程序，据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。

（3）继续检查发现，这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒，在本次应急用作工作电脑远程办公使用，对外分享文件时，被该公司IT人员监测发现异常。

三、阻断病毒传播和修复方案

1.该公司IT人员立即对感染病毒的机器进行断网处理，避免进一步扩散。
2.在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后，立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种，最近一次更新是2020年1月，目前仍处于活跃状态，建议企业及时升级杀毒软件，做好防范。
3.对已感染病毒对电脑，使用腾讯电脑管家（或腾讯T-sec终端安全管理系统）进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊（详情可参见后续“样本详细分析”部分），腾讯电脑管家可以准确识别和完美修复，将被感染文件还原成原始状态。

四、样本详细分析

根据该病毒在写入的日志信息以及Gmail用户名的关键词，将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃，有一定增长态势。

C2访问趋势图

该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件，使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。

如下三个指定的感染位置：
%USERPROFILE%\Desktop
%USERPROFILE%\Documents
%USERPROFILE%\Downloads

指定位置

被感染的文件被执行时，会执行恶意逻辑，包括释放伪装名为“Synaptics.exe”的文件常驻系统，进行远程控制，回传窃取的敏感信息等恶意行为。
主要功能逻辑如下图所示：

XRed病毒功能逻辑图

被感染的可执行文件体积增量约为753KB，包含一个名为“EXERESX”的资源，该资源是原始正常的程序。被感染的文件资源如下图所示。

被感染的文件资源图示

“EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名，如下图所示。

被感染的病毒执行效果图

该病毒释放并加载名为“KBHKS”的动态库资源，通过设置相关钩子消息以记录键盘输入信息及其窗口信息等， Hook代码关键逻辑如下：

消息Hook逻辑

病毒使用“XLSM”资源感染xlsx后缀文件，并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。

“XLSM”资源包含了恶意VBA脚本，恶意功能如下：

• 篡改Word和Excel组件的宏设置，启用所有宏。

• 通过公有云盘下载并执行Synaptics.exe病毒。

相关逻辑如下图所示。

修改宏设置

下载并执行病毒

键盘记录特殊虚拟键码转换如下图所示。

键盘虚拟键码转换

用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示。

硬编码配置信息

具有基础的远程控制功能，包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示。

远控功能

IOCs:
md5
13358cfb6040fd4b2dba262f209464de
C2 & URL
xred.mooo.com
freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978
hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download
hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1
hxxp://xred.site50.net/syn/*****.rar
病毒作者邮箱地址
xredline1@gmail.com
xredline2@gmail.com
xredline3@gmail.com
参考资料：
https://www.freebuf.com/articles/terminal/222991.html