欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

来源:本站整理 作者:hellotong 时间:2015-04-10 TAG: 我要投稿

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX,为此,趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。
PlugX是一款臭名昭著的新型远程控制工具 (RAT) ,曾被黑客用于针对中国政治活动(第十二届全国人民代表大会和第十二届政治协商会议)的APT攻击。
用户在下载合法安装工具或者更新游戏时便会被植入远控工具PlugX,被感染的游戏启动器(launcher)会释放如下三个文件:
1.launcher文件
2.cleaner文件
3.dropper文件
最终,受害者的设备上会出现两个恶意文件:NtUserEx.dll和NtUserEx.dat。攻击者可在受害者不知情的情况下在其设备上执行恶意代码,窃取数据。
研究者们在该恶意代码的字符串中还发现了Cooper(如下图)

调查显示该恶意代码的影响范围主要在亚洲地区,其中台湾最为严重,新加坡次之。

台湾LoL回应正在紧急处理此事
台湾LoL官网回应称,他们正在和杀毒软件公司合作找出应对措施,并承诺会购买合法的杀毒软件供大家使用,详情点击http://lol.garena.tw/news/news_info.php?nid=2532
相关样本:
bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)
a41e31d6516dd188f2df3084e4e422129c6f20c7 (LoLTWLauncher.exe)
bb77a6d41da5f8e0f10ef29818c59349b078c3c8 (POETWLauncher.exe)
样本之间的关系:

样本创建文件:
C:\WINDOWS\system32\NtUserEx.dll
C:\WINDOWS\system32\NtUserEx.dat
样本创建系统服务用于自启动:
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll
C:\WINDOWS\system32\NtUserEx.dll
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMain
sqlite3_aggregate_num
恶意代码的入口有2个:
一个是通过服务调用ServiceMain“sqlite3_aggregate_num”
另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”
恶意代码执行流程:

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”:

DeleteF:删除文件
Install:安装PlugX
Install_uac:过UAC安装PlugX
RMain:Rundll32调用入口
SMain:服务调用入口
“enginedll.dll”解密出配置文件和“FinalCode”
解密算法是一种自制的流加密:

配置信息在“NtUserEx.dat”尾部,长度0xAE4:

配置信息解密后:

“FinalCode”通过“crypt_plugx”解密后,还需要“RtlDecompressBuffer”解压。
“FinalCode”通过“POST”方式与配置信息中的控制端通信:

分析“FinalCode”后,我们发现可以取以下字符串作为通信特征用来检测:
“POST /update?id=”
“X-Session:”
“X-Status:”
“X-Size:”
“X-Sn:”

爆料,分析过程中还发现了一个带有效数字签名的样本:

参考
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/
http://lol.garena.tw/news/news_info.php?nid=2532
http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8
http://hummingbird.tistory.com/5772
http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf
http://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
http://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf
https://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat
 
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载