网站 › 『病毒分析区』 › 【原创】恶意代码分析：台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX

hellotong88 发表于 2015-4-10 11:07

【原创】恶意代码分析：台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX

本帖最后由 hellotong88 于 2015-4-22 09:24 编辑

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX，为此，趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/

PlugX是一款臭名昭著的新型远程控制工具 (RAT) ，曾被黑客用于针对中国政治活动（第十二届全国人民代表大会和第十二届政治协商会议）的APT攻击。

台湾LoL回应正在紧急处理此事台湾LoL官网回应称，他们正在和杀毒软件公司合作找出应对措施，并承诺会购买合法的杀毒软件供大家使用，详情点击http://lol.garena.tw/news/news_info.php?nid=2532

相关样本：


样本之间的关系：

样本创建文件：C:\WINDOWS\system32\NtUserEx.dllC:\WINDOWS\system32\NtUserEx.dat




样本创建系统服务用于自启动：HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDllC:\WINDOWS\system32\NtUserEx.dll
HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMainsqlite3_aggregate_num




恶意代码的入口有2个：一个是通过服务调用ServiceMain“sqlite3_aggregate_num”另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”



恶意代码执行流程：

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”：DeleteF：删除文件Install：安装PlugXInstall_uac：过UAC安装PlugXRMain：Rundll32调用入口SMain：服务调用入口

“enginedll.dll”解密出配置信息和“FinalCode”：


解密算法是一种自制的流加密：




配置信息在“NtUserEx.dat”尾部，长度0xAE4：


配置信息解密后：
“FinalCode”通过“crypt_plugx”解密后，还需要“RtlDecompressBuffer”解压。






“FinalCode”通过“POST”方式与配置信息中的控制端通信：



分析“FinalCode”后，我们发现可以取以下字符串作为通信特征用来检测：“POST /update?id=”“X-Session:”“X-Status:”“X-Size:”“X-Sn:”




爆料，分析过程中还发现了一个带有效数字签名的样本：





参考：http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/http://lol.garena.tw/news/news_info.php?nid=2532http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8http://hummingbird.tistory.com/5772http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdfhttp://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdfhttp://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdfhttps://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat

落枫BJ 发表于 2015-4-10 11:22

我擦~~那大陆版本的~~会不会也////////

maomaosky 发表于 2015-4-10 11:21

这个现在应该可以查杀了 ，这件事情影响还是很大的 。

xulihua_1987 发表于 2015-4-15 08:42

这个是 freebuf转载过来的，应该保留版权！

hellotong88 发表于 2015-4-15 11:01

xulihua_1987 发表于 2015-4-15 08:42
这个是 freebuf转载过来的，应该保留版权！

没感觉freebuf那个人跟我重名吗{:1_918:}

xulihua_1987 发表于 2015-4-22 21:10

hellotong88 发表于 2015-4-15 11:01
没感觉freebuf那个人跟我重名吗

{:1_909:} 好像真的是你!

Daemon 发表于 2015-4-29 17:40

哇这种事发生在知名游戏上，好恐怖···，估计发现者也是为了做辅助才看到的吧

我只做我自己 发表于 2015-6-9 08:49

绝对大神，楼主好屌

苍穹小猛 发表于 2015-6-24 21:51

兄弟.可以帮我个忙吗

850913193 发表于 2016-8-22 06:44

好叼的样子 来学习下

查看完整版本: 【原创】恶意代码分析：台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX