xxoxx

国外大牛人肉定向攻击远控PlugX开发者全过程分析

2012-09-20共279715人围观，发现 22 个不明物体其他

上周已经报道过趋势报告的PlugX远控工具被用于定向攻击的事件（http://www.freebuf.com/news/5607.html）。国外大牛继续发力，人肉追踪了PlugX RAT的作者。

labs.alienvault.com公司在过去几个月已经监控到一些针对西藏分子的钓鱼邮件攻击活动，主要利用Microsoft Office的漏洞CVE-2012-0158，当用户打开这些攻击邮件附件时，就会因为CVE-2012-0158漏洞中招，并下载三个文件：Nvidia执行文件NvSmart.exe，DLL文件 (NvSmartMax.dll) 和一个二进制文件(boot.ldr)。

赛门铁克也曾经分析报道过：http://www.symantec.com/connect/blogs/tibetan-themed-malware-subverts-legitimate-application。

似乎NvSmart.exe文件是被Nvidia签名的，有些Nvidia应用会用到这文件。一旦执行，就会导入DLL文件NvSmartMax.dll，而这个dll文件是黑客修改过的，会执行boot.ldr文件内的二进制代码，即真正的恶意代码。因为NvSmart.exe被配置为开机启动，而且又有数字签名，因此它可以绕过检测。从而使得恶意代码可以在系统启动时被执行。

研究人员经常在boot.ldr文件里发现了名为PlugX的远控工具。研究人员一直跟踪这些PlugX二进制文件，从中提取了一些调试路径：

Hash: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b
Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h
Compilation date: 6/17/2012 16:44:58

Hash: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a_HHDL’s Birthday Celebration.doc
Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb
Compilation date: 6/17/2012 16:44:58

Hash: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a
Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h
Compilation date: 5/26/2012 7:16:08

Hash: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8
Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h
Compilation date: 6/14/2012 6:06:00

于是研究人员继续从收集到的恶意文档里，找寻这些不同版本的PlugX。结果发现了这次人肉的关键线索“WHG”

Hash: 3b01677582e7a56942a91da9728c6251- financial_report.exe
Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 6/17/2012 16:44:58

Hash: 60ee900d919da8306b7b6dbe7e62fee49f00ccf141b2e396f5a66be51a00e34f
Debug Path: C:\Documents and Settings\whg\\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 2012-03-12 07:04:12

Hash: c00cd2dcddbb24383a3639ed56e68a24dc4561b1248efa4d53aa2b68220b4b2a
Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb
Compilation date: 3/12/2012 14:23:58

很明显是Windows XP、Windows 7系统下的用户名。于是研究人员顺藤摸瓜，查找有类似调试路径信息的二进制文件，研究人员在无花果-编程驿站www.cnasm.com找到了一个名为SockMon的软件（网络监视工具）。

C:\Users\whg\Desktop\SockMon2011\SockMon\UnitCache.pas
c:\Documents and Settings\whg\SockMon2010\RunProtect\Release\RunProtect.pdb
c:\Documents and Settings\whg\\SockMon2010\SmComm\Release\SmComm.pdb

还有一个名为vtcp开发包（http://www.cnasm.com/vtcpsdk/）的库文件的debug路径

C:\Users\whg\Desktop\vtcp11.0lib\vtcpT0\UnitMain.pas

（当然这个关键的一步，关联起来似乎有些牵强，比较结合国情看，刚好有个叫WHG的人也不是不可能。）

通过软件所在网站cnasm.com找到了以下联系信息：

email：whg0001 at 163.com
QQ：312016

研究人员继续人肉发现chinansl.com在2000年的注册信息：

Domain Name      : chinansl.com
PunnyCode        : chinansl.com
Creation Date    : 2000-08-08 00:00:00
Updated Date     : 2012-02-29 11:26:22
Expiration Date  : 2013-08-08 00:00:00

登记信息：

Organization   : chinansl technology co.，itd
Name           : lishiyun
Address        : Room E8BC , XiangFu Garden , 3rd Southern portion of 2nd ringroad , Chengdu , Si
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041
 
Administrative Contact:
Name           :
Organization   : chinansl technology co.，itd
Address        :
City           : chengdushi
Province/State : sichuansheng
Country        : china
Postal Code    : 610041
Phone Number   :
Fax            : 086-028-85459578
Email          : whg0001@163.com

公司情况：
Company Name: CHINANSL TECHNOLOGY CO.,LTD.
Address: Chengdu National Information Security Production Industrialization Base , 2nd Floor ,No.8 Chuangye   Road
Telephone: 02866853362
Custom Code: 5101730218773
Company Code: 730
Account-opening Bank: Xisanqi Sub-branch, Beijing Branch, Bank of China
Account Name: Beijing Lingtong Economic Consulting Co., Ltd
Account Number: 813715881608091001

研究人员还翻了nfocus的05年的一个老帖子–《国内知名黑客人物与安全界高手联系方法》上面写道：
whg：whg0001@263.net 游民病毒高手对病毒很有研究的

甚至在CSDN网站上找到了whg0001的大头照。

（可能研究人员也觉得通过whg来关联有点牵强）

于是研究人员在更多的远控软件PlugX样本中发现了以下debug信息：

i:\work\plug2.0()\shellcode\shellcode\XPlug.h

以及一个url：

http://tieba.baidu.com/f?kz=866965377

打开后看到whg0001在2010-08-21 15:27的发了几个字符。如图：

最后研究人员表示：以上举证起码证明whg跟PlugX开发有关。

如有兴趣可以看看原文（原文地址）whg博客地址

这些评论亮了

chengdu回复

whg大牛？？
好像在成都开发某杀软的公司上班。

)29(亮了
aaa回复

一些有意无意留标记的所谓牛人们注意了，也许某次国外旅游啊什么的你就回不来了。

)23(亮了
g.r0b1n(5级)黄埔安全学院创始人回复

推测：国人看到了无花果的VTCP项目，于是就直接拿过来用在了PlugX，如果真是本人开发，敏感的关键字必然会过滤掉。而且看了人肉的文章后，老外也不是百分百确定，只是将二者简单联系起来，咋一看让人觉得就是如此，可事后仔细推敲下，若干关键地方实在无法说通。当然你可以认为就是无花果，但是一个软件高手会犯如此低级错误？
PS：话说vtcp真是一个好东西（看了csdn上的博客后我是这么认为），如果把这技术在其他软件上实现，比如用于文件下载，用于类似P2P方式的文件共享，真的很不错！

)20(亮了
ss回复

是真的,给国 ---a开发的。

)18(亮了
熊小喵(1级)回复

博客和空间东西都删的差不多了，大牛是有意暴露还是没做好防身。。。

)11(亮了

发表评论

已有 22 条评论

xx 2012-09-20回复1楼

guoneia

亮了(5)
phper 2012-09-20回复2楼

碉堡

亮了(5)
thanks (8级)FreeBuf常务处主任 2012-09-20回复3楼

赞！

亮了(6)
pnig0s (7级)FreeBuf技术处书记 2012-09-20回复4楼

v587!

亮了(7)
chengdu 2012-09-20回复5楼

whg大牛？？

好像在成都开发某杀软的公司上班。

亮了(29)
ss 2012-09-20回复6楼

是真的,给国 —a开发的。

亮了(18)
icybin 2012-09-20回复7楼

这社工的水平不一般,赞

亮了(6)
Mqingluan (1级) 2012-09-20回复8楼

高手的社工。。

亮了(9)
熊小喵 (1级) 2012-09-20回复9楼

博客和空间东西都删的差不多了，大牛是有意暴露还是没做好防身。。。

亮了(11)
Noname 2012-09-20回复10楼

换昵称是多么的重要…

亮了(6)
g.r0b1n (5级)黄埔安全学院创始人 2012-09-20回复11楼

推测：国人看到了无花果的VTCP项目，于是就直接拿过来用在了PlugX，如果真是本人开发，敏感的关键字必然会过滤掉。而且看了人肉的文章后，老外也不是百分百确定，只是将二者简单联系起来，咋一看让人觉得就是如此，可事后仔细推敲下，若干关键地方实在无法说通。当然你可以认为就是无花果，但是一个软件高手会犯如此低级错误？

PS：话说vtcp真是一个好东西（看了csdn上的博客后我是这么认为），如果把这技术在其他软件上实现，比如用于文件下载，用于类似P2P方式的文件共享，真的很不错！

亮了(20)
yuehui (1级) 2012-09-20回复12楼

亮了(4)
zeracker (1级)不以安全为目标，就是耍流氓！ zeracker@gmail... 2012-09-21回复13楼

帅呆了

亮了(3)
aaa 2012-09-21回复14楼

一些有意无意留标记的所谓牛人们注意了，也许某次国外旅游啊什么的你就回不来了。

亮了(23)
xxoxx 2012-09-22回复15楼

说真的，没看出牛在哪儿，这玩意，之前已经被用了N次了，就是那些写软件的不长记性，非要放在桌面。哦，欧若拉不算

亮了(5)
badbad (1级) 2012-09-23回复16楼

这个要和谐，大家都懂的

亮了(3)
慕容冰 (1级) 2012-09-27回复17楼

游戏人生

亮了(4)
Track (1级) 2012-10-23回复18楼

经常在调试软件的时候发现这类路径

亮了(1)
814ckhum0r 2012-10-23回复19楼

说实话思路上面没觉得多牛x。。还不如国内的小黑

xxxx基地原来有写马的呼呼。。

亮了(1)
global_hacker (4级) 2012-10-24回复20楼

我戳杀软公司的？？？

亮了(1)
什么情况 2015-01-24回复21楼

怎么惹到国外的了。。难道是撸友

亮了(0)
未知 2015-04-09回复22楼

不是他吧，我和他很熟啊

亮了(0)