一例plugx样本的分析(AcroRd32cWP)
这是一例plugx的样本,使用了一个合法签名的程序 ,使用侧加载的方式加载一个恶意的dll,解密一个dat文件来,在内存中执行一个反射型dll来完成恶意功能。
这个病毒会使用摆渡的方式的来窃取内网的文档数据,具有严重的失泄密隐患。
样本信息
文件: AdobeHelp.exe
大小: 253496 字节
修改时间: 2023年10月27日, 13:03:30
MD5: F26179D65B42720B2A4984D717C309DE
SHA1: 3319A0AF253D487FF8F137DD0F7F0CB3DC94F729
CRC32: AA5CF0EB
文件: adobeupdate.dat
大小: 161803 字节
修改时间: 2023年10月27日, 13:03:30
MD5: 38BAABDDFFB1D732A05FFA2C70331E21
SHA1: 39E5B6B33B564E302E8F4A43E96B252BF1B8CCD6
CRC32: A200B3C6
文件: hex.dll
大小: 77208 字节
修改时间: 2023年10月27日, 13:03:30
MD5: C33D3D6970DBB19062AE09505A6EB376
SHA1: DB4A2F4BA2AADA8BF12E5D840A0D5921012DBD07
CRC32: E548B9F5
文件: AcroRd32.exe
大小: 190144 字节
文件版本: 3.9.0.327
修改时间: 2023年10月27日, 13:03:29
MD5: C70D8DCE46B4551133ECC58AED84BF0E
SHA1: 00626346632FDFB2A1D5831793E92A3601EC4D9F
CRC32: 79CE50B1
整个病毒执行过程分为两个阶段。
第一阶段
样本有三个,其中AcroRd32.exe为Adobe官方程序,有合法的签名,该程序运行过程中会加载恶意动态库hex.dll的CEFProcessForkHandlerEx函数,这个函数会读取同目录下的adobeupdate.dat文件,对其进行解密,在内存中释放和加载一个dll,这个dll是一个反射型dll,来执行主要的恶意行为。
AcroRd32.exe:
Verified: Signed
Signing date: 8:22 2016/10/13
Publisher: Adobe Systems Incorporated
Company: Adobe Systems Incorporated
Description: Adobe CEF Helper
Product: Adobe CEF Helper
通过动态调试在hex.dll的VirtualProtect设置断点,将解密后的dll dump出来。
dump出来的dll信息。
Verified: Unsigned
Link date: 16:10 2020/1/16
MachineType: 32-bit
MD5: F67CA2E8EA7E44890D9D7F045FC7D855
SHA1: E7D1DFB0ECFABE691761F90C789A39CDD691403A
下面详细分析这个dll。
第二阶段
第二阶段主要是进入 dump出的dll 执行
首先,初始化化一段全局变量,解密了一段长度为1828的数据,其中包含了1个互斥量和4个c2的地址。生成一个随机值设置HKLM/HKCU\Software\CLASSES\ms-pu\CLSID,创建并隐藏目录%appdata%\Intel\。
读取程序的命令行参数。
情况一:从U盘启动的场景
若没有参数的话,这是从U盘启动的情形,执行感染系统的操作。
首先,在当前系统中创建目录%userprofile%\AcroRd32cWP\或%alluserprofile%\AcroRd32cWP\,将自身拷贝到这个目录下,命名为AcroRd32.exe。
将当前目录的下的3个文件hex.dll,adobeupdate.dat,AdobeHelp.exe拷贝到这个目录下。
在注册表中添加开机启动项(如下 )。
HKLM\Software\Microsoft\Windows\CurrentVersion\RunAcroRd32cWP
HKCU\Software\Microsoft\Windows\CurrentVersion\RunAcroRd32cWP
指向 %userprofile%\AcroRd32cWP\AcroRd32.exe 177 或%alluserprofile%\AcroRd32cWP\AcroRd32.exe 177
然后执行%userprofile% 或 %alluserprofile%\AcroRd32cWP\AcroRd32.exe 177 ,然后退出。
情况二 从主机启动或开机自启动的情形
若有两个参数的话,创建名为nayWCTWyopTwgSLTxfbf的互斥量,若同名的互斥量存在,则退出 。
若参数为-net的话,设置2个注册表项(如下 )。然后感染系统并设置开机启动项退出。
HKLM\System\CurrentControlSet\Control\Network\version=1
HKCU\System\CurrentControlSet\Control\Network\Version=1
若参数不为-net的话。感染U盘,窃取用户的文档,与C2建立通信。
清理与AdobeHelper.exe、AdobeUpdates.exe、AdobeUpdate.exe、AAM Updates.exe、AAM Update.exe有关的进程、文件和注册表中的开机启动项。
检测当前是否连接移动存储介质,有的话,执行感染U盘和摆渡文件的操作。
感染U盘的过程
感染U盘的过程如下。
首先,设置注册表,用于隐藏文件的后缀名。
Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=0
Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSupperHidden=1
Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt=1
进而,清理与AdobeHelper.exe、AdobeUpdates.exe、AdobeUpdate.exe、AAM Updates.exe、AAM Update.exe有关的进程、文件和注册表中的开机启动项。
在U盘的根目录,创建一个隐藏的文件夹X:\ \,在这个目录下创建文件X:\ \desktop.ini,写入IconResource=%systemroot%\system32\SHELL32.DLL,7,该文件的作用是将文件夹的图标修改为了驱动器的icon。
创建一个隐藏文件夹X:\RECYCLERS.BIN\,在该目录下创建desktop.ini,写入CLSID={645FF040-5081-101B-9F08-00AA002F954E},将文件夹X:\RECYCLERS.BIN\变成回收站。
将同目录下的的hex.dll AdobeHelp.exe AdobeUpdate.dat拷贝到X:\RECYCLERS.BIN\中,将自身拷贝为X:\RECYCLERS.BIN\AdobeUpdate.exe。
将U盘下的文件移动到 X:\ \下(跳过 .和… 以及隐藏的目录,卷名.exe 或 Removable Disk(U盘总共的大小).exe),删除根目录下的lnk文件。
将X:\RECYCLERS.BIN\AdobeHelp.exe拷贝为X:\Removable Disk(U盘总共的大小).exe 或 X:\卷名.exe。
AdobeHelp.exe的作用是打开X:\ \目录,运行病毒主体X:\RECYCLERS.BIN\AdobeUpdate.exe,执行感染系统的操作。
文件摆渡的过程
创建一个窗口,classname为static,来监控可移动存储介质的插入,当有U盘插入的时候,向U盘拷贝文件,或才从U盘中取出窃取的文件。
首先会访问https://www.microsoft.com,测试当前系统是否连接互联网。
非联网状态
若不能访问https://www.microsoft.com,首先读取注册表项HKLM/HKCU\System\CurrentControlSet\Network\Version的值 ,
若Version为1的话,执行命令systeminfo,ipconfig /all,netstat -ano,arp -a,tasklist /v,将获取到的系统信息保存到U盘中X:\RECYCLERS.BIN\[ms_pu_CLSID]\c3lzLmluZm8。
遍历系统所有驱动器(跳过U盘),窃取文档文件。
找到后缀名为.doc .docx .ppt .pptx .xls .xlsx .pdf 且大小小于300MB的文件,将目标文件加密拷贝到U盘X:\RECYCLERS.BIN\[ms_pu_CLSID]\目录下,文件名使用base64编码,对文件内容进行加密,并同步两个文件的时间。
当U盘中的可使用的空间大小(预留1/10的存储空间后)小于10MB,停止拷贝。
生成一个tmp.bat文件,执行
%comspec% /q /c systeminfo > path+c3lzLmluZm8
%comspec% /q /c ipconfig /all >> path+c3lzLmluZm8
%comspec% /q /c netstat -ano >> path+c3lzLmluZm8
%comspec% /q /c arp -a >> path+c3lzLmluZm8
%comspec% /q /c tasklist /v >> path+c3lzLmluZm8
del %0
若当前机器是联接互联网的状态,将从内网搜集到的文件从U盘拷贝到当前机器上%appdata%\Intel目录下。
将U盘下X:\RECYCLERS.BIN\ X:\RECYCLE.BIN\ X:\RECYCLER.BIN\路径中(跳过RECYCLERS.BIN文件)的文件,拷贝到当前系统%appdata%\Intel目录下,若不是.info文件,则清空原文件,并同步两个文件的时间。
后门部分
这个样本会和C2进行通信,这部分比较复杂,还没有分析清楚,可参考最后一节的资料。有4个C2地址。
42.99.117.95:443
42.99.117.95:8080
news.169mt.com:8000
news.169mt.com:8090
IOC
hash
文件: AdobeHelp.exe
MD5: F26179D65B42720B2A4984D717C309DE
SHA1: 3319A0AF253D487FF8F137DD0F7F0CB3DC94F729
CRC32: AA5CF0EB
文件: adobeupdate.dat
MD5: 38BAABDDFFB1D732A05FFA2C70331E21
SHA1: 39E5B6B33B564E302E8F4A43E96B252BF1B8CCD6
CRC32: A200B3C6
文件: hex.dll
MD5: C33D3D6970DBB19062AE09505A6EB376
SHA1: DB4A2F4BA2AADA8BF12E5D840A0D5921012DBD07
CRC32: E548B9F5
文件: AcroRd32.exe
MD5: C70D8DCE46B4551133ECC58AED84BF0E
SHA1: 00626346632FDFB2A1D5831793E92A3601EC4D9F
CRC32: 79CE50B1
文件
主机上
C:\ProgramData\AcroRd32cWP\AcroRd32.exe、hex.dll、adobeupdate.dat、AdobeHelp.exe、tmp.bat
C:\users\administrator\acrord32cwp\AcroRd32.exe、hex.dll、adobeupdate.dat、AdobeHelp.exe、tmp.bat
%appdata%\Intel 隐藏的目录,这个目录用来保存从U盘摆渡出来的文件
U盘中
X:\RECYCLERS.BIN\AdobeUpdate.exe、hex.dll、adobeupdate.dat、AdobeHelp.exe
X:\Removable Disk(U盘总共的大小).exe
X:\卷名.exe 实为AdobeHelp.exe,用于启动AdobeUpdate.exe,打开目录X:\<0xA0>\
X:\<0xA0>\ 用来保存U盘中根目录下原来的文件
X:\RECYCLERS.BIN\[ms_pu_CLSID]\ 用来保存从主机上窃取的文件,文件名使用base64编码,文件内容被加密
X:\RECYCLERS.BIN\[ms_pu_CLSID]\c3lzLmluZm8 这是窃取的系统信息
ms_pu_CLSID 这是一个16字节长度的随机字符串,根据系统时间生成,类似于B78FFCDB0E13FAAD、
B80F0B871093FEB1、B9DA1AB8125E02B5、BA156EAF149906B9,生成之后会保存在注册表HKLM/HKCU\Software\CLASSES\ms-pu\CLSID中。
注意 主机上的AcroRd32.exe和U盘中AdobeUpdate.exe是一个文件
注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
AcroRd32cWP=%userprofile%\AcroRd32cWP\AcroRd32.exe [数字]
或者AcroRd32cWP=%alluserprofile%\AcroRd32cWP\AcroRd32.exe [数字]
HKCU\Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=0
HKCU\Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSupperHidden=1
HKCU\Software\Micsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt=1
HKLM\System\CurrentControlSet\Control\Network\version=1
HKCU\System\CurrentControlSet\Control\Network\Version=1
HKLM/HKCU\Software\CLASSES\ms-pu\CLSID
互斥量
nayWCTWyopTwgSLTxfbf
C2
https://www.microsoft.com
42.99.117.95:443
42.99.117.95:8080
news.169mt.com:8000
news.169mt.com:8090
总结
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
参考资料
-
malware-ioc/quarterly_reports/2020_Q2 at master · eset/malware-ioc · GitHub
-
TA416 使用 PlugX 恶意软件新的 Golang 变种进行攻击 (seebug.org)
-
TA416 Goes to Ground and Returns with a Golang PlugX Malware Loader | Proofpoint US
-
THREAT ANALYSIS REPORT: DLL Side-Loading Widely (Ab)Used (cybereason.com)
-
The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant
-
VirusTotal - IP address - 42.99.117.95
-
PlugXRemovalGuideVersion1 0 PDF | PDF (scribd.com)
-
maltrail/trails/static/malware/plugx.txt at master · stamparm/maltrail · GitHub
-
GitHub - stamparm/maltrail: Malicious traffic detection system
-
[原创]STORAGE_DEVICE_DESCRIPTOR 方式获取硬盘序列号-编程技术-看雪-安全社区|安全招聘|kanxue.com
-
利用window的CLSID可以干的一些事情-CSDN博客
-
116444736000000000的由来 - 知乎 (zhihu.com)
-
ImDisk 命令行用法-CSDN博客
-
New wave of PlugX targets Hong Kong - Avira Blog
-
暴涨3倍!通过受感染 USB 窃密的事件愈发变多 - FreeBuf网络安全行业门户
-
CIRCL » TR-24 Analysis - Destory RAT family
-
A border-hopping PlugX USB worm takes its act on the road – Sophos News
-
THREAT ANALYSIS REPORT: PlugX RAT Loader Evolution (cybereason.com)
-
Examining APT27 and the HyperBro RAT - NetWitness Community - 693490
-
THREAT ANALYSIS REPORT: DLL Side-Loading Widely (Ab)Used (cybereason.com)
-
Detecting Media Insertion or Removal - Win32 apps | Microsoft Learn