網頁

2015年1月9日 星期五

2015/1/9 HITCON Freetalk:台灣最熱門網遊安裝檔 驚見APT後門

講者:Kenny

Kenny今天要介紹熱門線上遊戲英雄聯盟(LOL)的主程式安裝檔被植入病毒的事件,他首先以自己是玩家的身份,在2014/12/26到官網下載主程式後,在安裝時防毒軟體跳出有病毒的警告,第一時間感到錯愕,但是自己剛好是略懂資安技能的玩家,因此就來研究一下病毒從哪裡來的。

Kenny表示,最簡單的辨認方式,可以將可疑的檔案丟到virustotal(https://www.virustotal.com)這個網站上去,上面有50幾家防毒軟體幫你掃描檔案,雖然不可能100%準確,但也是一個很好的參考依據。Kenny將LOL主程式丟上去後,有超過一半以上的防毒顯示此檔案有問題。

關於這次的後門,他會在電腦的C槽多了兩個檔案:
  • C:\windows\System32\NtUserEx.dll
  • C:\windows\System32\NtUserEx.dat
以及查看電腦封包的流向,會看到3個Domain:
  • gs2.playdr2.tw
  • gs3.playdr2.tw
  • gs4.playdr2.tw


Kenny講到了事件整體的時間表:
  • 11/11 最早的LOL感染版本從台灣被上傳至virustotal
  • 11/12 最早的中繼站域名解析紀錄時間
  • 11/26 另一款遊戲"流亡黯道(POE)"最早的感染版本被上傳至virustotal
  • 12/02 一名LOL玩家在PTT上張貼被掃毒偵測為惡意的消息,但不被重視
  • 12/23 Garena更新安裝程式,但後門仍存在
  • 12/26 確認POE和LOL皆受到感染
  • 12/27 回報Garena此次攻擊
  • 12/29 Garena更新安裝程式為正常安裝檔
  • 12/31 Garena發佈安全聲明

由這次後門看出攻擊者可能有特殊身分,Kenny和朋友們討論後有了更驚人的發現,這是一群專門對遊戲產業進行的攻擊,進行時間至少4, 5年以上,其惡意程式PlugX在2011年已出現在卡巴斯基的研究報告,並命名為"Winnti Group"。

Winnti Group可能造成的損害:
  • 偷取遊戲原始碼
  • 偷取數位簽章,用來簽更多惡意程式
  • 偷取虛擬貨幣寶物
  • 偷取玩家個資
  • 遊戲更新程式綑綁木馬(本事件新手法)

從這次事件可以了解到,PlugX為知名APT專用工具,處理事資安事件不宜已中毒事件處理,應擬定系統性療程及企業整治計畫,企業對於資安事件應建立單一通報流程及窗口,不疑將資安事件窗口與客服窗口混合。