吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9357|回复: 10
收起左侧

[PC样本分析] 【原创】恶意代码分析:台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX

  [复制链接]
hellotong88 发表于 2015-4-10 11:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hellotong88 于 2015-4-22 09:24 编辑

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX,

为此,趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。


http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/


PlugX是一款臭名昭著的新型远程控制工具 (RAT) ,曾被黑客用于针对中国政治活动(第十二届全国人民代表大会和第十二届政治协商会议)的APT攻击。



台湾LoL回应正在紧急处理此事

台湾LoL官网回应称,他们正在和杀毒软件公司合作找出应对措施,并承诺会购买合法的杀毒软件供大家使用,

详情点击http://lol.garena.tw/news/news_info.php?nid=2532



相关样本:
图片1.png



样本之间的关系:
图片2.png


样本创建文件:
C:\WINDOWS\system32\NtUserEx.dll
C:\WINDOWS\system32\NtUserEx.dat





样本创建系统服务用于自启动:
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll
C:\WINDOWS\system32\NtUserEx.dll

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMain
sqlite3_aggregate_num





恶意代码的入口有2个:
一个是通过服务调用ServiceMain“sqlite3_aggregate_num”
图片3.png
另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”
图片4.png




恶意代码执行流程:
图片5.png


“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”:
图片6.png
DeleteF:删除文件
Install:安装PlugX
Install_uac:过UAC安装PlugX
RMain:Rundll32调用入口
SMain:服务调用入口


“enginedll.dll”解密出配置信息和“FinalCode”:



解密算法是一种自制的流加密:

图片7.png




配置信息在“NtUserEx.dat”尾部,长度0xAE4:
图片8.png



配置信息解密后:
图片9.png

“FinalCode”通过“crypt_plugx”解密后,还需要“RtlDecompressBuffer”解压。







“FinalCode”通过“POST”方式与配置信息中的控制端通信:
图片10.png




分析“FinalCode”后,我们发现可以取以下字符串作为通信特征用来检测:
“POST /update?id=”
“X-Session:”
“X-Status:”
“X-Size:”
“X-Sn:”
图片11.png





爆料,分析过程中还发现了一个带有效数字签名的样本:
图片12.png






参考:
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/
http://lol.garena.tw/news/news_info.php?nid=2532
http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8
http://hummingbird.tistory.com/5772
http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf
http://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
http://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf
https://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat



点评

修改了游戏dll 知道游戏必然会调用dll 这个就是没有检测dll是不是原生的问题 这个问题很久了。。。。  发表于 2015-4-10 11:46

免费评分

参与人数 1热心值 +1 收起 理由
willJ + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

落枫BJ 发表于 2015-4-10 11:22
我擦~~那大陆版本的~~会不会也////////
maomaosky 发表于 2015-4-10 11:21
这个现在应该可以查杀了 ,这件事情影响还是很大的 。
xulihua_1987 发表于 2015-4-15 08:42
 楼主| hellotong88 发表于 2015-4-15 11:01
xulihua_1987 发表于 2015-4-15 08:42
这个是 freebuf转载过来的,应该保留版权!

没感觉freebuf那个人跟我重名吗
xulihua_1987 发表于 2015-4-22 21:10
hellotong88 发表于 2015-4-15 11:01
没感觉freebuf那个人跟我重名吗

好像真的是你!
Daemon 发表于 2015-4-29 17:40
哇这种事发生在知名游戏上,好恐怖···,估计发现者也是为了做辅助才看到的吧
我只做我自己 发表于 2015-6-9 08:49 来自手机
绝对大神,楼主好屌
苍穹小猛 发表于 2015-6-24 21:51
兄弟.可以帮我个忙吗
850913193 发表于 2016-8-22 06:44
好叼的样子 来学习下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 17:04

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表