恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX,为此,趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。

PlugX是一款臭名昭著的新型远程控制工具 (RAT) ,曾被黑客用于针对中国政治活动(第十二届全国人民代表大会和第十二届政治协商会议)的APT攻击。

用户在下载合法安装工具或者更新游戏时便会被植入远控工具PlugX,被感染的游戏启动器(launcher)会释放如下三个文件:

1.launcher文件
2.cleaner文件
3.dropper文件

最终,受害者的设备上会出现两个恶意文件:NtUserEx.dll和NtUserEx.dat。攻击者可在受害者不知情的情况下在其设备上执行恶意代码,窃取数据。

研究者们在该恶意代码的字符串中还发现了Cooper(如下图)

调查显示该恶意代码的影响范围主要在亚洲地区,其中台湾最为严重,新加坡次之。

台湾LoL回应正在紧急处理此事

台湾LoL官网回应称,他们正在和杀毒软件公司合作找出应对措施,并承诺会购买合法的杀毒软件供大家使用,详情点击http://lol.garena.tw/news/news_info.php?nid=2532

相关样本:

bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)
a41e31d6516dd188f2df3084e4e422129c6f20c7 (LoLTWLauncher.exe)
bb77a6d41da5f8e0f10ef29818c59349b078c3c8 (POETWLauncher.exe)

样本之间的关系:

样本创建文件:

C:\WINDOWS\system32\NtUserEx.dll
C:\WINDOWS\system32\NtUserEx.dat

样本创建系统服务用于自启动:

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll
C:\WINDOWS\system32\NtUserEx.dll
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMain
sqlite3_aggregate_num

恶意代码的入口有2个:

一个是通过服务调用ServiceMain“sqlite3_aggregate_num”
另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”

恶意代码执行流程:

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”:

DeleteF:删除文件
Install:安装PlugX
Install_uac:过UAC安装PlugX
RMain:Rundll32调用入口
SMain:服务调用入口

“enginedll.dll”解密出配置文件和“FinalCode”

解密算法是一种自制的流加密:

配置信息在“NtUserEx.dat”尾部,长度0xAE4:

配置信息解密后:


“FinalCode”通过“crypt_plugx”解密后,还需要“RtlDecompressBuffer”解压。

“FinalCode”通过“POST”方式与配置信息中的控制端通信:

分析“FinalCode”后,我们发现可以取以下字符串作为通信特征用来检测:

“POST /update?id=”
“X-Session:”
“X-Status:”
“X-Size:”
“X-Sn:”


爆料,分析过程中还发现了一个带有效数字签名的样本:

参考

http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/

http://lol.garena.tw/news/news_info.php?nid=2532

http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8

http://hummingbird.tistory.com/5772

http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf

http://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf

http://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf

https://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat

* 作者/hellotong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21461107(PV) 页面执行时间:94.167(MS)
  • xml
  • 网站地图