※ 引述《ChoDino (Dino)》之銘言:
: 今天直播被國防布了。
: 剛看到有把木馬事件截出來的VOD了~
: https://www.youtube.com/watch?v=rPF53u78KsY
: 看來案件並不單純,大家看完再來討論討論吧!
重點摘錄:
[惡意後門存放位置]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
[C&C Server位置]
抓取本機送出的封包
特徵:update?id=00xxxxxx
嘗試連線的Domain:
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
[事件時間點]
2014-11-11 最早"英雄聯盟"感染版本從台灣被上傳至 VirusTotal
2014-11-12 最早的中繼站域名解析記錄時間 -> 攻擊開始
2014-11-21 最早"流亡黯道"感染版本從台灣被上傳至 VirusTotal
2014-12-02 ptt玩家張貼360掃到毒的消息 -> 被網路罷凌
2014-12-23 Garena更新程式,後門仍在
2014-12-26 __被通知流亡黯道感染消息,確定英雄聯盟也受感染
2014-12-27 回報此攻擊至Garena
2014-12-29 英雄聯盟安裝程式更新回正常檔案
2014-12-31 Garena發佈安全聲明
[惡意程式與中繼站關連]
惡意程式:PlugX木馬 (常見於網軍攻擊報告) -> 取得不易
中繼站:gs2.playdr2.tw
卡巴斯基命名為 Winnti Group
[Winnti Group]
針對遊戲產業進行攻擊的族群
2011年9月首見於COMMAND FIVE的報告
卡巴斯基對 Winnti Group 的介紹
受害公司:上百家,亞洲是重災區
團隊成員:俄羅斯、日本 (非針對此次事件)
可能的損害:
偷取原始碼
偷取數位簽章(用來簽更多惡意程式)
偷取虛擬貨幣寶物(沒有很明顯的跡象)
偷取遊戲玩家個資
遊戲更新程式綑綁木馬(本事件新手法)(之前攻擊對象都是員工或內部網路)
後續補充:
[OLD COOPER OPERATION]
2014-12-17 PLUGX APT TRAFFIC 在客戶(政府機關)的電腦裡發現
會持續連線
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
對應到兩個IP
192.126.118.198
202.65.214.220
一個在香港
一個在洛杉磯
該客戶電腦於 2014-11-12 安裝了流亡黯道
2014-12-27 透過朋友的朋友,終於聯繫到新加坡G社比較能作主的人,
能動到系統的都在新加坡
事件後,G社承諾會改進消息回報流程
[PlugX (Sogu/Kaba/Korplug/DestroyRAT)]
很先進
可以任意變形、偽裝,隱藏在不同通訊模組下
Use Dll Path hijacking technology (aka Dll Side-loading)
利用 Dll 載入優先順序不同的技巧,隱藏在正常的程序下
Bypass UAC (sysprep.exe)
系統不會詢問你是否確定要執行
Support TCP/UDP/ICMP protocol
支援不同通訊協定,讓防火牆難以阻擋
Manipulate Keylogger/SQL
Connection/File/Capture/Cmd/Regsitry/Service/Process functions
有許多遠端遙控的功能
非常有彈性、隱密,病毒非常多
常見於亞洲、美國
[此事件的PlugX]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
走http通訊協定
某政府單位
2014-11-23 開始有嘗試連接中繼站流量
2014-12-01 開始持續出現大量與中繼站的流量
跟 SK Communications hack 事件都一樣出現 Cooper 字樣 (可能是同一集團所為)
該事件有一名律師會員向SK索賠「精神損失費」300萬韓圜
法官認定SK未能充分阻擋駭客攻擊,存在過失,判陪100韓圜(約2.6萬新台幣)
[此事件應學到的一課]
此次目標可能是取得個資、遊戲原始碼、帳號獲利、滲透大範圍遊戲玩家,包含工程
師或政府機關外包廠商等
資安事件不宜以中毒事件處理
資安事件應建立單一通報流程及窗口