欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

国外大牛人肉定向攻击远控工具PlugX开发者全过程分析

来源:本站转载 作者:cs24 时间:2012-09-20 TAG: 我要投稿

上周已经报道过趋势报告的PlugX远控工具被用于定向攻击的事件(http://www.freebuf.com/news/5607.html)。国外大牛继续发力,人肉追踪了PlugX RAT的作者。

labs.alienvault.com公司在过去几个月已经监控到一些针对西藏分子的钓鱼邮件攻击活动,主要利用Microsoft Office的漏洞CVE-2012-0158,当用户打开这些攻击邮件附件时,就会因为CVE-2012-0158漏洞中招,并下载三个文件:Nvidia执行文件NvSmart.exe,DLL文件 (NvSmartMax.dll) 和一个二进制文件(boot.ldr)。

赛门铁克也曾经分析报道过:http://www.symantec.com/connect/blogs/tibetan-themed-malware-subverts-legitimate-application。

似乎NvSmart.exe文件是被Nvidia签名的,有些Nvidia应用会用到这文件。一旦执行,就会导入DLL文件NvSmartMax.dll,而这个dll文件是黑客修改过的,会执行boot.ldr文件内的二进制代码,即真正的恶意代码。因为NvSmart.exe被配置为开机启动,而且又有数字签名,因此它可以绕过检测。从而使得恶意代码可以在系统启动时被执行。

研究人员经常在boot.ldr文件里发现了名为PlugX的远控工具。研究人员一直跟踪这些PlugX二进制文件,从中提取了一些调试路径:

Hash: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h Compilation date: 6/17/2012 16:44:58 Hash: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a_HHDL’s Birthday Celebration.doc Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb Compilation date: 6/17/2012 16:44:58 Hash: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h Compilation date: 5/26/2012 7:16:08 Hash: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8 Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h Compilation date: 6/14/2012 6:06:00

于是研究人员继续从收集到的恶意文档里,找寻这些不同版本的PlugX。结果发现了这次人肉的关键线索“WHG”

Hash: 3b01677582e7a56942a91da9728c6251- financial_report.exe Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 6/17/2012 16:44:58 Hash: 60ee900d919da8306b7b6dbe7e62fee49f00ccf141b2e396f5a66be51a00e34f Debug Path: C:\Documents and Settings\whg\\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 2012-03-12 07:04:12 Hash: c00cd2dcddbb24383a3639ed56e68a24dc4561b1248efa4d53aa2b68220b4b2a Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 3/12/2012 14:23:58

很明显是Windows XP、Windows 7系统下的用户名。于是研究人员顺藤摸瓜,查找有类似调试路径信息的二进制文件,研究人员在无花果-编程驿站www.cnasm.com找到了一个名为SockMon的软件(网络监视工具)。

C:\Users\whg\Desktop\SockMon2011\SockMon\UnitCache.pas
c:\Documents and Settings\whg\SockMon2010\RunProtect\Release\RunProtect.pdb
c:\Documents and Settings\whg\\SockMon2010\SmComm\Release\SmComm.pdb

还有一个名为vtcp开发包(http://www.cnasm.com/vtcpsdk/)的库文件的debug路径

C:\Users\whg\Desktop\vtcp11.0lib\vtcpT0\UnitMain.pas

(当然这个关键的一步,关联起来似乎有些牵强,比较结合国情看,刚好有个叫WHG的人也不是不可能。)

通过软件所在网站cnasm.com找到了以下联系信息:

email:whg0001 at 163.com
QQ:312016

研究人员继续人肉发现chinansl.com在2000年的注册信息:

Domain Name      : chinansl.com
PunnyCode        : chinansl.com
Creation Date    : 2000-08-08 00:00:00
Updated Date     : 2012-02-29 11:26:22
Expiration Date  : 2013-08-08 00:00:00

登记信息:

Organization   : chinansl technology co.,itd
Name           : lishiyun
Address        : Room E8BC , XiangFu Garden , 3rd Southern portion of 2nd ringroad , Chengdu , Si
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041

Administrative Contact:
Name           :
Organization   : chinansl technology co.,itd
Address        :
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041
Phone Number   :
Fax            : 086-028-85459578
Email          : whg0001@163.com

公司情况:
Company Name: CHINANSL TECHNOLOGY CO.,LTD.
Address: Chengdu National Information Security Production Industrialization Base , 2nd Floor ,No.8 Chuangye   Road
Telephone: 02866853362
Custom Code: 5101730218773
Company Code: 730
Account-opening Bank: Xisanqi Sub-branch, Beijing Branch, Bank of China
Account Name: Beijing Lingtong Economic Consulting Co., Ltd
Account Number: 813715881608091001

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载