※ 引述《ChoDino (Dino)》之铭言:
: 今天直播被国防布了。
: 刚看到有把木马事件截出来的VOD了~
: https://www.youtube.com/watch?v=rPF53u78KsY
: 看来案件并不单纯,大家看完再来讨论讨论吧!
重点摘录:
[恶意后门存放位置]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
[C&C Server位置]
抓取本机送出的封包
特征:update?id=00xxxxxx
尝试连线的Domain:
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
[事件时间点]
2014-11-11 最早"英雄联盟"感染版本从台湾被上传至 VirusTotal
2014-11-12 最早的中继站域名解析记录时间 -> 攻击开始
2014-11-21 最早"流亡黯道"感染版本从台湾被上传至 VirusTotal
2014-12-02 ptt玩家张贴360扫到毒的消息 -> 被网络罢凌
2014-12-23 Garena更新程式,后门仍在
2014-12-26 __被通知流亡黯道感染消息,确定英雄联盟也受感染
2014-12-27 回报此攻击至Garena
2014-12-29 英雄联盟安装程式更新回正常档案
2014-12-31 Garena发布安全声明
[恶意程式与中继站关连]
恶意程式:PlugX木马 (常见于网军攻击报告) -> 取得不易
中继站:gs2.playdr2.tw
卡巴斯基命名为 Winnti Group
[Winnti Group]
针对游戏产业进行攻击的族群
2011年9月首见于COMMAND FIVE的报告
卡巴斯基对 Winnti Group 的介绍
受害公司:上百家,亚洲是重灾区
团队成员:俄罗斯、日本 (非针对此次事件)
可能的损害:
偷取原始码
偷取数位签章(用来签更多恶意程式)
偷取虚拟货币宝物(没有很明显的迹象)
偷取游戏玩家个资
游戏更新程式綑绑木马(本事件新手法)(之前攻击对象都是员工或内部网络)
后续补充:
[OLD COOPER OPERATION]
2014-12-17 PLUGX APT TRAFFIC 在客户(政府机关)的电脑里发现
会持续连线
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
对应到两个IP
192.126.118.198
202.65.214.220
一个在香港
一个在洛杉矶
该客户电脑于 2014-11-12 安装了流亡黯道
2014-12-27 透过朋友的朋友,终于联系到新加坡G社比较能作主的人,
能动到系统的都在新加坡
事件后,G社承诺会改进消息回报流程
[PlugX (Sogu/Kaba/Korplug/DestroyRAT)]
很先进
可以任意变形、伪装,隐藏在不同通讯模组下
Use Dll Path hijacking technology (aka Dll Side-loading)
利用 Dll 加载优先级不同的技巧,隐藏在正常的程序下
Bypass UAC (sysprep.exe)
系统不会询问你是否确定要执行
Support TCP/UDP/ICMP protocol
支援不同通讯协定,让防火墙难以阻挡
Manipulate Keylogger/SQL
Connection/File/Capture/Cmd/Regsitry/Service/Process functions
有许多远端遥控的功能
非常有弹性、隐密,病毒非常多
常见于亚洲、美国
[此事件的PlugX]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
走http通讯协定
某政府单位
2014-11-23 开始有尝试连接中继站流量
2014-12-01 开始持续出现大量与中继站的流量
跟 SK Communications hack 事件都一样出现 Cooper 字样 (可能是同一集团所为)
该事件有一名律师会员向SK索赔“精神损失费”300万韩圜
法官认定SK未能充分阻挡骇客攻击,存在过失,判陪100韩圜(约2.6万新台币)
[此事件应学到的一课]
此次目标可能是取得个资、游戏原始码、帐号获利、渗透大范围游戏玩家,包含工程
师或政府机关外包厂商等
资安事件不宜以中毒事件处理
资安事件应建立单一通报流程及窗口