首页 » 漏洞 » 恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

 

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX,为此,趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。

PlugX是一款臭名昭著的新型远程控制工具 (RAT) ,曾被黑客用于针对中国政治活动(第十二届全国人民代表大会和第十二届政治协商会议)的APT攻击。

用户在下载合法安装工具或者更新游戏时便会被植入远控工具PlugX,被感染的游戏启动器(launcher)会释放如下三个文件:

1.launcher文件

2.cleaner文件

3.dropper文件

最终,受害者的设备上会出现两个恶意文件:NtUserEx.dll和NtUserEx.dat。攻击者可在受害者不知情的情况下在其设备上执行恶意代码,窃取数据。

研究者们在该恶意代码的字符串中还发现了Cooper(如下图)

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

调查显示该恶意代码的影响范围主要在亚洲地区,其中台湾最为严重,新加坡次之。

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

台湾LoL回应正在紧急处理此事

台湾LoL官网回应称,他们正在和杀毒软件公司合作找出应对措施,并承诺会购买合法的杀毒软件供大家使用

相关样本:
bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)
a41e31d6516dd188f2df3084e4e422129c6f20c7 (LoLTWLauncher.exe)
bb77a6d41da5f8e0f10ef29818c59349b078c3c8 (POETWLauncher.exe)

样本之间的关系:
恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

样本创建文件:
C:/WINDOWS/system32/NtUserEx.dll
C:/WINDOWS/system32/NtUserEx.dat

样本创建系统服务用于自启动:
HKLM/SYSTEM/ControlSet001/Services/6to4/Parameters/ServiceDll
C:/WINDOWS/system32/NtUserEx.dll
HKLM/SYSTEM/ControlSet001/Services/6to4/Parameters/ServiceMain
sqlite3_aggregate_num

恶意代码的入口有2个:

一个是通过服务调用ServiceMain“sqlite3_aggregate_num”

另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”

恶意代码执行流程:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

DeleteF:删除文件

Install:安装PlugX

Install_uac:过UAC安装PlugX

RMain:Rundll32调用入口

SMain:服务调用入口

“enginedll.dll”解密出配置文件和“FinalCode”

解密算法是一种自制的流加密

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

配置信息在“NtUserEx.dat”尾部,长度0xAE4:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

配置信息解密后:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

“FinalCode”通过“crypt_plugx”解密后,还需要“RtlDecompressBuffer”解压。

“FinalCode”通过“POST”方式与配置信息中的控制端通信:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

分析“FinalCode”后,我们发现可以取以下字符串作为通信特征用来检测:
“POST /update?id=”
“X-Session:”
“X-Status:”
“X-Size:”
“X-Sn:”
恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

爆料,分析过程中还发现了一个带有效数字签名的样本:

恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX

原文链接:恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控工具PlugX,转载请注明来源!

0