freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

国外大牛人肉定向攻击远控PlugX开发者全过程分析
2012-09-20 09:30:03

上周已经报道过趋势报告的PlugX远控工具被用于定向攻击的事件(http://www.freebuf.com/news/5607.html)。国外大牛继续发力,人肉追踪了PlugX RAT的作者。

labs.alienvault.com公司在过去几个月已经监控到一些针对西藏分子的钓鱼邮件攻击活动,主要利用Microsoft Office的漏洞CVE-2012-0158,当用户打开这些攻击邮件附件时,就会因为CVE-2012-0158漏洞中招,并下载三个文件:Nvidia执行文件NvSmart.exe,DLL文件 (NvSmartMax.dll) 和一个二进制文件(boot.ldr)。

赛门铁克也曾经分析报道过:http://www.symantec.com/connect/blogs/tibetan-themed-malware-subverts-legitimate-application

似乎NvSmart.exe文件是被Nvidia签名的,有些Nvidia应用会用到这文件。一旦执行,就会导入DLL文件NvSmartMax.dll,而这个dll文件是黑客修改过的,会执行boot.ldr文件内的二进制代码,即真正的恶意代码。因为NvSmart.exe被配置为开机启动,而且又有数字签名,因此它可以绕过检测。从而使得恶意代码可以在系统启动时被执行。

研究人员经常在boot.ldr文件里发现了名为PlugX的远控工具。研究人员一直跟踪这些PlugX二进制文件,从中提取了一些调试路径:
Hash: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b
Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h
Compilation date: 6/17/2012 16:44:58

Hash: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a_HHDL’s Birthday Celebration.doc
Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb
Compilation date: 6/17/2012 16:44:58

Hash: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a
Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h
Compilation date: 5/26/2012 7:16:08

Hash: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8
Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h
Compilation date: 6/14/2012 6:06:00
于是研究人员继续从收集到的恶意文档里,找寻这些不同版本的PlugX。结果发现了这次人肉的关键线索“WHG”
Hash: 3b01677582e7a56942a91da9728c6251- financial_report.exe
Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 6/17/2012 16:44:58

Hash: 60ee900d919da8306b7b6dbe7e62fee49f00ccf141b2e396f5a66be51a00e34f
Debug Path: C:\Documents and Settings\whg\\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 2012-03-12 07:04:12

Hash: c00cd2dcddbb24383a3639ed56e68a24dc4561b1248efa4d53aa2b68220b4b2a
Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 3/12/2012 14:23:58
很明显是Windows XP、Windows 7系统下的用户名。于是研究人员顺藤摸瓜,查找有类似调试路径信息的二进制文件,研究人员在无花果-编程驿站www.cnasm.com找到了一个名为SockMon的软件(网络监视工具)。
C:\Users\whg\Desktop\SockMon2011\SockMon\UnitCache.pas
c:\Documents and Settings\whg\SockMon2010\RunProtect\Release\RunProtect.pdb
c:\Documents and Settings\whg\\SockMon2010\SmComm\Release\SmComm.pdb
还有一个名为vtcp开发包(http://www.cnasm.com/vtcpsdk/)的库文件的debug路径
C:\Users\whg\Desktop\vtcp11.0lib\vtcpT0\UnitMain.pas

(当然这个关键的一步,关联起来似乎有些牵强,比较结合国情看,刚好有个叫WHG的人也不是不可能。)

通过软件所在网站cnasm.com找到了以下联系信息:
email:whg0001 at 163.com
QQ:312016
研究人员继续人肉发现chinansl.com在2000年的注册信息:
Domain Name      : chinansl.com
PunnyCode        : chinansl.com
Creation Date    : 2000-08-08 00:00:00
Updated Date     : 2012-02-29 11:26:22
Expiration Date  : 2013-08-08 00:00:00
登记信息:
Organization   : chinansl technology co.,itd
Name           : lishiyun
Address        : Room E8BC , XiangFu Garden , 3rd Southern portion of 2nd ringroad , Chengdu , Si
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041
 
Administrative Contact:
Name           :
Organization   : chinansl technology co.,itd
Address        :
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041
Phone Number   :
Fax            : 086-028-85459578
Email          : whg0001@163.com

公司情况:
Company Name: CHINANSL TECHNOLOGY CO.,LTD.
Address: Chengdu National Information Security Production Industrialization Base , 2nd Floor ,No.8 Chuangye   Road
Telephone: 02866853362
Custom Code: 5101730218773
Company Code: 730
Account-opening Bank: Xisanqi Sub-branch, Beijing Branch, Bank of China
Account Name: Beijing Lingtong Economic Consulting Co., Ltd
Account Number: 813715881608091001
研究人员还翻了nfocus的05年的一个老帖子--《国内知名黑客人物与安全界高手联系方法》上面写道:
whg:whg0001@263.net 游民 病毒高手 对病毒很有研究的

甚至在CSDN网站上找到了whg0001的大头照。

(可能研究人员也觉得通过whg来关联有点牵强)

于是研究人员在更多的远控软件PlugX样本中发现了以下debug信息:

i:\work\plug2.0()\shellcode\shellcode\XPlug.h

以及一个url:


http://tieba.baidu.com/f?kz=866965377


打开后看到whg0001在2010-08-21 15:27的发了几个字符。如图:

最后研究人员表示:以上举证起码证明whg跟PlugX开发有关。

如有兴趣可以看看原文(原文地址)whg博客地址


本文作者:, 转载请注明来自FreeBuf.COM

# PlugX开发者 # 人肉定向
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑