解密 PlugX 能力

在我們之前的文章裡,趨勢科技報導了被稱為PlugX的新品種遠端存取工具(RAT),它被用在Poison Ivy相關的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中。乍一看,這個遠端存取工具似乎只是個簡單的工具,具備有限的遠端存取能力。然而,進一步分析PlugX會發現它有更多微妙之處。

在典型的攻擊中,PlugX通常具備三個組成部分,即:

  • 一個正常檔案
  • 一個可以由正常檔案載入的惡意DLL
  • 一個包含惡意程式碼,可以由DLL載入的二進位檔案。

 

攻擊是由包含惡意附件檔的釣魚郵件所開始,通常是壓縮過或精心製造的文件檔,可以攻擊 Adobe Acrobat Reader微軟Office(特別是 CVE-2010-3333)的漏洞。在此案例中,它透過特製文件檔到達(偵測為TROJ_ARTIEF.LWO)。這個木馬程式會植入並執行BKDR_PLUGX.SME,它接著會植入以下檔案:

所有使用者的%User Profile%\Gf\NvSmart.exe – 一個正常的NVIDIA檔案(NVIDIA Smart Maximise Helper Host)

  • 所有使用者的%User Profile%\Gf\NvSmartMax.dll – BUT
  • 所有使用者的%User Profile%\Gf\boot.ldr – TROJ_PLUGX.SME

要注意的是,這惡意軟體會植入檔案NvSmart.exe,這是一個已知的正常NVIDIA檔案。

檢視NvSmart.exe的匯入表(import table),可以看到它從NvSmartMax.dll匯入三個函數。在正常情況下,它會載入正常的NvSmartMax.dll。但如果相同目錄中有此DLL檔案的惡意版本,那它將載入這惡意版本。

 

惡意NvSmartMax.dll接著會載入位在相同目錄的boot.ldr。這個檔案包含NvSmartMax.dll所用的惡意程式碼。

繼續深入被載入程式碼的作用,我們看到它會先解密自身,在其記憶體空間形成「可執行檔」。所有的後門模組都可以在這「可執行檔」內找到。

但是,被載入的程式碼並不會將此解密出的「可執行檔」植入系統。相反地,它會將程式碼注入到正常程序svchost.exe,這可能是為了避免被偵測。在它注入程式碼到svchost.exe後,它會終止最初執行的NvSmart.exe

 

我們分析解密後的可執行檔發現它是設計成並充滿著數個後門模組。這些模組被安排進行各自獨特的任務。我們從惡意軟體發現以下模組:

 

PlugX模組後門功能
XPlugDisk複製、移動、重新命名和刪除檔案新增資料夾新增檔案

枚舉檔案

執行檔案

取得磁碟機資訊

取得檔案資訊

修改檔案

開啟檔案

XPlugKeyLogger記錄按鍵和啟動視窗
XPlugNethood枚舉TCP和UDP連線枚舉網路資源設置TCP連線狀態
XPlugOption顯示訊息方塊鎖定工作站登出使用者

重新啟動系統

XPlugPortMap執行端口映射
XPlugProcess枚舉程序取得程序資訊終止程序
XPlugRegedit枚舉登錄機碼新增登錄機碼刪除登錄機碼

複製登錄機碼

枚舉登錄項目

修改登錄項目

刪除登錄值

XPlugScreen螢幕擷取擷取影片
XPlugService刪除服務枚舉服務取得服務資訊

修改服務

啟動服務

XPlugShell執行遠端shell
XPlugSQL連接資料庫伺服器和執行SQL指令
XPlugTelnet建立Telnet伺服器

 

 

類似於我們最初的PlugX文章,我們觀察到它會植入除錯日誌到%All Users Profiel%\SxS\bug.log。此檔案包含了可以讓惡意軟體作者用來改進PlugX的錯誤代碼。例如,如果惡意軟體無法存取某些檔案或資料夾,它會建立事件日誌。參考此除錯日誌,惡意軟體作者就可以修改未來的PlugX版本以存取這些檔案或資料夾。作者甚至可以利用該日誌來知道如何避免被偵測或被停用。因此,此檔案對於建立更有效的PlugX工具來說是非常關鍵。

趨勢科技的使用者受到了主動式雲端截毒服務  Smart Protection Network的保護。特別是檔案信譽評比服務可以偵測並刪除PlugX(BKDR_PLUGX和TROJ_PLUGX)。網頁信譽評比和電子郵件信譽評比服務可以封鎖上述的C&C和相關電子郵件。趨勢科技的Deep Security使用者可以利用規則1004498 – Word RTF檔案解析堆疊緩衝區溢位漏洞來防護此威脅。

 

@原文出處:Unplugging PlugX Capabilities作者:Abraham Camba(威脅研究員)