【原创】恶意代码分析：台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX

hellotong88 · 发表于 2015-4-10 11:07

本帖最后由 hellotong88 于 2015-4-22 09:24 编辑

HITCON黑客大会上披露台湾官方版英雄联盟LoL和流亡黯道PoE被植入新型远程控制工具 (RAT) PlugX，

为此，趋势科技和HITCON共同开发了一款针对该恶意代码的清理工具。

http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/

PlugX是一款臭名昭著的新型远程控制工具 (RAT) ，曾被黑客用于针对中国政治活动（第十二届全国人民代表大会和第十二届政治协商会议）的APT攻击。

台湾LoL回应正在紧急处理此事

台湾LoL官网回应称，他们正在和杀毒软件公司合作找出应对措施，并承诺会购买合法的杀毒软件供大家使用，

详情点击http://lol.garena.tw/news/news_info.php?nid=2532

相关样本：

样本之间的关系：

样本创建文件：

C:\WINDOWS\system32\NtUserEx.dll

C:\WINDOWS\system32\NtUserEx.dat

样本创建系统服务用于自启动：

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll

C:\WINDOWS\system32\NtUserEx.dll

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceMain

sqlite3_aggregate_num

恶意代码的入口有2个：

一个是通过服务调用ServiceMain“sqlite3_aggregate_num”

另一个是“rundll32.exe NtUserEx.dll,sqlite3_bind_byte”

恶意代码执行流程：

“NtUserEx.dll”解密“NtUserEx.dat”为“enginedll.dll”：

DeleteF：删除文件

Install：安装PlugX

Install_uac：过UAC安装PlugX

RMain：Rundll32调用入口

SMain：服务调用入口

“enginedll.dll”解密出配置信息和“FinalCode”：

解密算法是一种自制的流加密：

配置信息在“NtUserEx.dat”尾部，长度0xAE4：

配置信息解密后：

“FinalCode”通过“crypt_plugx”解密后，还需要“RtlDecompressBuffer”解压。

“FinalCode”通过“POST”方式与配置信息中的控制端通信：

分析“FinalCode”后，我们发现可以取以下字符串作为通信特征用来检测：

“POST /update?id=”

“X-Session:”

“X-Status:”

“X-Size:”

“X-Sn:”

爆料，分析过程中还发现了一个带有效数字签名的样本：

参考：

http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-league-of-legends-path-of-exile/

http://lol.garena.tw/news/news_info.php?nid=2532

http://totalhash.com/analysis/bb77a6d41da5f8e0f10ef29818c59349b078c3c8

http://hummingbird.tistory.com/5772

http://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf

http://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf

http://www.circl.lu/assets/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf

https://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat

落枫BJ · 发表于 2015-4-10 11:22

我擦~~那大陆版本的~~会不会也////////

maomaosky · 发表于 2015-4-10 11:21

这个现在应该可以查杀了，这件事情影响还是很大的。

xulihua_1987 · 发表于 2015-4-15 08:42

这个是 freebuf转载过来的，应该保留版权！

hellotong88 · 发表于 2015-4-15 11:01

xulihua_1987 发表于 2015-4-15 08:42
这个是 freebuf转载过来的，应该保留版权！

没感觉freebuf那个人跟我重名吗

xulihua_1987 · 发表于 2015-4-22 21:10

hellotong88 发表于 2015-4-15 11:01
没感觉freebuf那个人跟我重名吗

好像真的是你!

Daemon · 发表于 2015-4-29 17:40

哇这种事发生在知名游戏上，好恐怖···，估计发现者也是为了做辅助才看到的吧

我只做我自己 · 发表于 2015-6-9 08:49

绝对大神，楼主好屌

苍穹小猛 · 发表于 2015-6-24 21:51

兄弟.可以帮我个忙吗

850913193 · 发表于 2016-8-22 06:44

好叼的样子来学习下

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 【原创】恶意代码分析：台湾官方版英雄联盟LoL和流亡黯道PoE被植入远控PlugX

点评

免费评分