看了 HITCON FreeTalk 20150109:Operation GG 台灣最熱門網遊安裝檔 驚見網軍後門 影片才知道最近發生了 LOL (線上遊戲英雄聯盟) 遊戲程式加料事件,ITHOME 也有報導,但本人沒在玩線上遊戲,所以時間點就忽略跳過它了
話說,這個後門程式很早就在 VirusTotal 線上掃毒被人上傳測試過
將英雄聯盟加料的惡意程式上傳VirusTotal則發現,早在2014年11月11日,就已經有人將該版本的惡意程式上傳測試
在2014年11月中旬~12月下旬時,被發現該公司數位簽章遭竊,導致該公司在官網上供玩家下載的遊戲程式被駭客加料,除正常遊戲檔案外還免費贈送一個網軍常用的惡意程式PlugX
其實我比較好奇為何能加料得到,是只要拿到數位簽章就可以上傳成功到官方網站上面嗎 ? 不用 FTP 帳密等等 ? 目前我沒有答案,也沒相關技術層面的經驗,其實很想了解
再來這個後門程式名叫 PlugX,會連線到中繼站
gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw,也對應到2個IP:192.126.118.198及202.65.214.220
且是走一般常見的 port,且惡意程式的手法是拿系統會用到的檔案,只是其中 90%是正常的、10%是有問題的
這個惡意程式PlugX非常先進,不僅是走Http通訊協定,利用的手法都是直接修改系統的程式,只有少部分是不正常的系統程式,因此很難被察覺,此次,駭客便利用Dll Path Hijacking(Dll路徑挾持)攻擊手法,利用載入Dll不同優先順序的技巧,將惡意程式隱藏在正常的程式中。 此外,該惡意程式則繞過UAC(使用者帳號控制)功能,讓電腦系統不會提醒使用者有任何軟體安裝或系統調整。再者,PlugX支援包括TCP、UDP和ICMP等通訊埠,防火牆根本難以阻擋;除了有鍵盤側錄功能,還加上具備許多遠多遙控功能,包括連線(Connection)、傳檔(File)、擷取(Capture)、下指令(Cmd)、設定(Registry)、啟動服務(Service)和啟動程序(Process)等功能。目前PlugX常見於亞洲和美國。
且在 C:\\Windows\\System32\\ 裡會有兩個檔案存在
受害者只會看到兩個惡意檔案,NtUserEx.dll和NtUserEx.dat(都被偵測為BKDR_PLUGX.ZTBL-EC)
PPT 有人把影片文字化了
留言