恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX,为此,趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。

PlugX是一款臭名昭著的新型远程控制工具 (RAT) ,曾被黑客用于针对中国政治活动(第十二届全国人民代表大会和第十二届政治协商会议)的APT攻击。

用户在下载合法安装工具或者更新游戏时便会被植入远控工具PlugX,被感染的游戏启动器(launcher)会释放如下三个文件:

1.launcher文件
2.cleaner文件
3.dropper文件

最终,受害者的设备上会出现两个恶意文件:NtUserEx.dll和NtUserEx.dat。攻击者可在受害者不知情的情况下在其设备上执行恶意代码,窃取数据。

研究者们在该恶意代码的字符串中还发现了Cooper(如下图)

调查显示该恶意代码的影响范围主要在亚洲地区,其中台湾最为严重,新加坡次之。

台湾LoL回应正在紧急处理此事

台湾LoL官网回应称,他们正在和杀毒软件公司合作找出应对措施,并承诺会购买合法的杀毒软件供大家使用,详情点击http://lol.garena.tw/news/news_info.php?nid=2532

相关样本:

bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)
a41e31d6516dd188f2df3084e4e422129c6f20c7 (LoLTWLauncher.exe)
bb77a6d41da5f8e0f10ef29818c59349b078c3c8 (POETWLauncher.exe)

样本之间的关系:

样本创建文件:

C:\WINDOWS\system32\NtUserEx.dll
C:\WINDOWS\system32\NtUserEx.dat

样本创建系统服务用于自启动:

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll
C:\WINDOWS\system32\NtUserEx.dll
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMain
sqlite3_aggregate_num

恶意代码的入口有2个:

一个是通过服务调用ServiceMain“sqlite3_aggregate_num”
另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”

恶意代码执行流程:

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”:

DeleteF:删除文件
Install:安装PlugX
Install_uac:过UAC安装PlugX
RMain:Rundll32调用入口
SMain:服务调用入口

“enginedll.dll”解密出配置文件和“FinalCode”

解密算法是一种自制的流加密:

配置信息在“NtUserEx.dat”尾部,长度0xAE4:

配置信息解密后:


“FinalCode”通过“crypt_plugx”解密后,还需要“RtlDecompressBuffer”解压。

“FinalCode”通过“POST”方式与配置信息中的控制端通信:

分析“FinalCode”后,我们发现可以取以下字符串作为通信特征用来检测:

“POST /update?id=”
“X-Session:”
“X-Status:”
“X-Size:”
“X-Sn:”


爆料,分析过程中还发现了一个带有效数字签名的样本:

参考

http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/

http://lol.garena.tw/news/news_info.php?nid=2532

http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8

http://hummingbird.tistory.com/5772

http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf

http://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf

http://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf

https://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat

* 作者/hellotong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

源链接

Hacking more

...