Lors d'une attaque de type APT, les attaquants sont amenés à mettre en place des moyens de persistance dans le système d'information de leur victime. Pour cela, le RAT (Remote Administration Tool) est l'arme de choix, un type de malware conçu pour donner un accès quasi-complet à la machine infectée et à distance. Au royaume des RAT, PlugX fait partie des grands favoris.
1. Introduction
Le malware PlugX est apparu pour la première fois en début d'année 2012, et fut nommé d'après des chaînes de caractères de debug présentes dans le binaire désignant les noms de plusieurs fichiers source (XPlug.cpp, XplugRegedit.cpp, XPlugDisk.cpp…). À cette époque, de grandes similarités de code et fonctionnalités ont été observées avec le malware Destory, dont les premières mentions datent de mi-2011 dans un article détaillant l'APT ayant touché SK Communications [1].
Au départ, le malware contenait de nombreuses chaînes de caractères de debug et de journalisation : chemin vers le fichier .pdb (celui-ci ayant d'ailleurs permis à la société AlienVault de remonter à un potentiel auteur [2]), noms des fichiers source, journalisation des erreurs dans un fichier .log… Ces indicateurs tendent à montrer que PlugX était alors dans une phase de beta-testing, ce qui était confirmé par le fait qu'il était souvent retrouvé en...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
