20241210 PlugX 恶意软件分析
地址:https://paper.seebug.org/3093/
20240927 这个是基于7.0 版本(2012)修改的,汉化了,并增加了下载执行功能。 (有无后门自测!)
地址:https://github.com/BlackHatCN/plugx
存在三个文件,Loader 通常为合法的exe,具有数字签名。Dll为恶意Dll,从Dat解密Shellcode并加载,Dat为加密后的Shellcode
- Loader
- Dll
- Dat 加载流程如下图所示
自带功能,默认开启,默认进程如下图所示
- TCP(HTTP)
- UDP
- DNS
- ICMP(14年以后版本才有)
- HTTPS(新版本)
7.0版本功能
- DragonRank,一家中文 SEO 操纵服务提供商
- ShadowPad 构建器
- 外交幽灵行动:中国积极开展网络间谍活动,利用稀有工具攻击中东、非洲和亚洲的政府实体
- 遗留威胁:在 Open Directory 中发现 PlugX Builder/Controller
- 揭开谜团:深入了解 PlugX 恶意软件的历史
- PlugX 恶意软件通过漏洞利用进行传播
- 通过非标准证书追踪 ShadowPad 基础设施)
- PlugX USB 蠕虫病毒跨越国界,开始肆虐)
- 调查伪装成合法 Windows 调试工具的 PlugX 木马病毒
- Mustang Panda APT 集团利用欧盟委员会主题诱饵传播 PlugX 恶意软件
- 中国 PlugX 恶意软件隐藏在您的 USB 设备中吗?
- 深入研究 Mustang Panda 组织的 PlugX 样本
- PlugX 加载器的演变
- 威胁分析报告:PlugX RAT 加载程序的演变
- PlugX:值得珍藏的护身符
- PlugX 的“GULP”
- THOR:PKPLUG 组织在 Microsoft Exchange Server 攻击期间部署了此前未见过的 PlugX 变种
- TA416 坠毁并携带 Golang PlugX 恶意软件加载器返回
- 《深入了解 Polaris 的武器库和情报见解》
- 《揭秘 TeleBoyi:中国 APT 组织瞄准全球关键基础设施》
- 《RAT 的秘密生活:通过剖析多个后门来串联线索》
- 《中国 RedGolf 利用 KEYPLUG 进行广泛目标的间谍活动和窃取信息》
- 《MustangPanda 简史及其 PlugX 演变》
- 《剖析 PlugX 以提取其精华》
- 《下一代 PlugX/ShadowPad?深入研究新兴的中国 Nexus 模块化木马 Pangolin8RAT(幻灯片)》
- 《ShadowPad:中国间谍活动私售恶意软件的杰作1》
- 《ShadowPad:中国间谍活动私售恶意软件的杰作2》
- 《ShadowPad APT 后门及其与 PlugX 的关系研究》
- 《分析报告 (TLP:WHITE) PlugX 变体分析 (PlugX 版本 7.0)》
构建器
构建器
控制端
