Re: [情報] 20150109-HITCON Freetalk - 世紀大漏洞消失
※ 引述《ChoDino (Dino)》之銘言:
: 今天直播被國防布了。
: 剛看到有把木馬事件截出來的VOD了~
: https://www.youtube.com/watch?v=rPF53u78KsY
: 看來案件並不單純,大家看完再來討論討論吧!
重點摘錄:
[惡意後門存放位置]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
[C&C Server位置]
抓取本機送出的封包
特徵:update?id=00xxxxxx
嘗試連線的Domain:
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
[事件時間點]
2014-11-11 最早"英雄聯盟"感染版本從台灣被上傳至 VirusTotal
2014-11-12 最早的中繼站域名解析記錄時間 -> 攻擊開始
2014-11-21 最早"流亡黯道"感染版本從台灣被上傳至 VirusTotal
2014-12-02 ptt玩家張貼360掃到毒的消息 -> 被網路罷凌
2014-12-23 Garena更新程式,後門仍在
2014-12-26 __被通知流亡黯道感染消息,確定英雄聯盟也受感染
2014-12-27 回報此攻擊至Garena
2014-12-29 英雄聯盟安裝程式更新回正常檔案
2014-12-31 Garena發佈安全聲明
[惡意程式與中繼站關連]
惡意程式:PlugX木馬 (常見於網軍攻擊報告) -> 取得不易
中繼站:gs2.playdr2.tw
卡巴斯基命名為 Winnti Group
[Winnti Group]
針對遊戲產業進行攻擊的族群
2011年9月首見於COMMAND FIVE的報告
卡巴斯基對 Winnti Group 的介紹
受害公司:上百家,亞洲是重災區
團隊成員:俄羅斯、日本 (非針對此次事件)
可能的損害:
偷取原始碼
偷取數位簽章(用來簽更多惡意程式)
偷取虛擬貨幣寶物(沒有很明顯的跡象)
偷取遊戲玩家個資
遊戲更新程式綑綁木馬(本事件新手法)(之前攻擊對象都是員工或內部網路)
後續補充:
[OLD COOPER OPERATION]
2014-12-17 PLUGX APT TRAFFIC 在客戶(政府機關)的電腦裡發現
會持續連線
gs2.playdr2.tw
gs3.playdr2.tw
gs4.playdr2.tw
對應到兩個IP
192.126.118.198
202.65.214.220
一個在香港
一個在洛杉磯
該客戶電腦於 2014-11-12 安裝了流亡黯道
2014-12-27 透過朋友的朋友,終於聯繫到新加坡G社比較能作主的人,
能動到系統的都在新加坡
事件後,G社承諾會改進消息回報流程
[PlugX (Sogu/Kaba/Korplug/DestroyRAT)]
很先進
可以任意變形、偽裝,隱藏在不同通訊模組下
Use Dll Path hijacking technology (aka Dll Side-loading)
利用 Dll 載入優先順序不同的技巧,隱藏在正常的程序下
Bypass UAC (sysprep.exe)
系統不會詢問你是否確定要執行
Support TCP/UDP/ICMP protocol
支援不同通訊協定,讓防火牆難以阻擋
Manipulate Keylogger/SQL
Connection/File/Capture/Cmd/Regsitry/Service/Process functions
有許多遠端遙控的功能
非常有彈性、隱密,病毒非常多
常見於亞洲、美國
[此事件的PlugX]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
走http通訊協定
某政府單位
2014-11-23 開始有嘗試連接中繼站流量
2014-12-01 開始持續出現大量與中繼站的流量
跟 SK Communications hack 事件都一樣出現 Cooper 字樣 (可能是同一集團所為)
該事件有一名律師會員向SK索賠「精神損失費」300萬韓圜
法官認定SK未能充分阻擋駭客攻擊,存在過失,判陪100韓圜(約2.6萬新台幣)
[此事件應學到的一課]
此次目標可能是取得個資、遊戲原始碼、帳號獲利、滲透大範圍遊戲玩家,包含工程
師或政府機關外包廠商等
資安事件不宜以中毒事件處理
資安事件應建立單一通報流程及窗口
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.162.157
※ 文章網址: http://www.ptt.cc/bbs/LoL/M.1420851966.A.CA7.html
推
01/10 09:08, , 1F
01/10 09:08, 1F
推
01/10 09:09, , 2F
01/10 09:09, 2F
推
01/10 09:15, , 3F
01/10 09:15, 3F
推
01/10 09:21, , 4F
01/10 09:21, 4F
推
01/10 09:23, , 5F
01/10 09:23, 5F
推
01/10 09:24, , 6F
01/10 09:24, 6F
※ 編輯: FT6034 (61.228.162.157), 01/10/2015 09:37:01
推
01/10 09:33, , 7F
01/10 09:33, 7F
推
01/10 09:34, , 8F
01/10 09:34, 8F
→
01/10 09:35, , 9F
01/10 09:35, 9F
→
01/10 09:36, , 10F
01/10 09:36, 10F
→
01/10 09:37, , 11F
01/10 09:37, 11F
補充上去了
※ 編輯: FT6034 (61.228.162.157), 01/10/2015 09:41:01
推
01/10 09:40, , 12F
01/10 09:40, 12F
推
01/10 09:41, , 13F
01/10 09:41, 13F
→
01/10 09:42, , 14F
01/10 09:42, 14F
→
01/10 09:42, , 15F
01/10 09:42, 15F
推
01/10 10:10, , 16F
01/10 10:10, 16F
→
01/10 10:12, , 17F
01/10 10:12, 17F
→
01/10 10:13, , 18F
01/10 10:13, 18F
推
01/10 11:10, , 19F
01/10 11:10, 19F
推
01/10 11:17, , 20F
01/10 11:17, 20F
推
01/10 11:33, , 21F
01/10 11:33, 21F
推
01/10 11:54, , 22F
01/10 11:54, 22F
推
01/10 12:02, , 23F
01/10 12:02, 23F
推
01/10 12:10, , 24F
01/10 12:10, 24F
推
01/10 12:17, , 25F
01/10 12:17, 25F
→
01/10 12:18, , 26F
01/10 12:18, 26F
推
01/10 12:20, , 27F
01/10 12:20, 27F
推
01/10 12:28, , 28F
01/10 12:28, 28F
推
01/10 12:36, , 29F
01/10 12:36, 29F
推
01/10 13:17, , 30F
01/10 13:17, 30F
推
01/10 13:47, , 31F
01/10 13:47, 31F
推
01/10 14:23, , 32F
01/10 14:23, 32F
推
01/10 16:58, , 33F
01/10 16:58, 33F
推
01/10 17:45, , 34F
01/10 17:45, 34F
推
01/10 19:49, , 35F
01/10 19:49, 35F
→
01/10 19:49, , 36F
01/10 19:49, 36F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 4 篇):