国外大牛人肉定向攻击远控PlugX开发者全过程分析
上周已经报道过趋势报告的PlugX远控工具被用于定向攻击的事件(http://www.freebuf.com/news/5607.html)。国外大牛继续发力,人肉追踪了PlugX RAT的作者。
labs.alienvault.com公司在过去几个月已经监控到一些针对西藏分子的钓鱼邮件攻击活动,主要利用Microsoft Office的漏洞CVE-2012-0158,当用户打开这些攻击邮件附件时,就会因为CVE-2012-0158漏洞中招,并下载三个文件:Nvidia执行文件NvSmart.exe,DLL文件 (NvSmartMax.dll) 和一个二进制文件(boot.ldr)。
赛门铁克也曾经分析报道过:http://www.symantec.com/connect/blogs/tibetan-themed-malware-subverts-legitimate-application。
似乎NvSmart.exe文件是被Nvidia签名的,有些Nvidia应用会用到这文件。一旦执行,就会导入DLL文件NvSmartMax.dll,而这个dll文件是黑客修改过的,会执行boot.ldr文件内的二进制代码,即真正的恶意代码。因为NvSmart.exe被配置为开机启动,而且又有数字签名,因此它可以绕过检测。从而使得恶意代码可以在系统启动时被执行。
研究人员经常在boot.ldr文件里发现了名为PlugX的远控工具。研究人员一直跟踪这些PlugX二进制文件,从中提取了一些调试路径:
Hash: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h Compilation date: 6/17/2012 16:44:58 Hash: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a_HHDL’s Birthday Celebration.doc Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb Compilation date: 6/17/2012 16:44:58 Hash: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h Compilation date: 5/26/2012 7:16:08 Hash: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8 Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h Compilation date: 6/14/2012 6:06:00
于是研究人员继续从收集到的恶意文档里,找寻这些不同版本的PlugX。结果发现了这次人肉的关键线索“WHG”
Hash: 3b01677582e7a56942a91da9728c6251- financial_report.exe Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 6/17/2012 16:44:58 Hash: 60ee900d919da8306b7b6dbe7e62fee49f00ccf141b2e396f5a66be51a00e34f Debug Path: C:\Documents and Settings\whg\\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 2012-03-12 07:04:12 Hash: c00cd2dcddbb24383a3639ed56e68a24dc4561b1248efa4d53aa2b68220b4b2a Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 3/12/2012 14:23:58
很明显是Windows XP、Windows 7系统下的用户名。于是研究人员顺藤摸瓜,查找有类似调试路径信息的二进制文件,研究人员在无花果-编程驿站www.cnasm.com找到了一个名为SockMon的软件(网络监视工具)。
C:\Users\whg\Desktop\SockMon2011\SockMon\UnitCache.pas c:\Documents and Settings\whg\SockMon2010\RunProtect\Release\RunProtect.pdb c:\Documents and Settings\whg\\SockMon2010\SmComm\Release\SmComm.pdb
还有一个名为vtcp开发包(http://www.cnasm.com/vtcpsdk/)的库文件的debug路径
C:\Users\whg\Desktop\vtcp11.0lib\vtcpT0\UnitMain.pas
(当然这个关键的一步,关联起来似乎有些牵强,比较结合国情看,刚好有个叫WHG的人也不是不可能。)
通过软件所在网站cnasm.com找到了以下联系信息:
email:whg0001 at 163.com QQ:312016
研究人员继续人肉发现chinansl.com在2000年的注册信息:
Domain Name : chinansl.com PunnyCode : chinansl.com Creation Date : 2000-08-08 00:00:00 Updated Date : 2012-02-29 11:26:22 Expiration Date : 2013-08-08 00:00:00
登记信息:
Organization : chinansl technology co.,itd Name : lishiyun Address : Room E8BC , XiangFu Garden , 3rd Southern portion of 2nd ringroad , Chengdu , Si City : chengdushi Province/State : sichuansheng Country : china Postal Code : 610041 Administrative Contact: Name : Organization : chinansl technology co.,itd Address : City : chengdushi Province/State : sichuansheng Country : china Postal Code : 610041 Phone Number : Fax : 086-028-85459578 Email : [email protected] 公司情况: Company Name: CHINANSL TECHNOLOGY CO.,LTD. Address: Chengdu National Information Security Production Industrialization Base , 2nd Floor ,No.8 Chuangye Road Telephone: 02866853362 Custom Code: 5101730218773 Company Code: 730 Account-opening Bank: Xisanqi Sub-branch, Beijing Branch, Bank of China Account Name: Beijing Lingtong Economic Consulting Co., Ltd Account Number: 813715881608091001
研究人员还翻了nfocus的05年的一个老帖子–《国内知名黑客人物与安全界高手联系方法》上面写道:
whg:[email protected] 游民 病毒高手 对病毒很有研究的
甚至在CSDN网站上找到了whg0001的大头照。
(可能研究人员也觉得通过whg来关联有点牵强)
于是研究人员在更多的远控软件PlugX样本中发现了以下debug信息:
i:\work\plug2.0()\shellcode\shellcode\XPlug.h
以及一个url:
http://tieba.baidu.com/f?kz=866965377
打开后看到whg0001在2010-08-21 15:27的发了几个字符。如图:
最后研究人员表示:以上举证起码证明whg跟PlugX开发有关。