Análisis del troyano de acceso remoto PlugX

Abstract

[ES] En este proyecto de fin de grado se lleva a cabo un análisis en detalle del troyano de acceso remoto referido principalmente como "PlugX" o “Korplug”, y popularmente utilizado por actores de origen chino. Para este propósito se ha identificado y obtenido una muestra reciente, y se ha llevado a cabo un análisis tanto dinámico como estático de la misma, empleando principalmente el desensamblador IDA Pro en un entorno virtual de análisis con Windows 7. Asimismo, se ha realizado una profunda actividad de investigación sobre fuentes abiertas como pilar de apoyo para la documentación de sus capacidades, funcionalidades, y evolución a lo largo del tiempo, así como la atribución de su uso a distintos grupos de amenazas avanzadas persistentes (APT por sus siglas en inglés). Finalmente, se identifican los indicadores de compromiso relativos a esta amenaza, y se expone la importancia y la utilidad de los resultados del análisis de malware.

[EN] In this final undergraduate project, we have conducted a detailed analysis of the remote access trojan mainly referred to as “PlugX” or “Korplug” and commonly used by Chinese actors. For this purpose, a recent sample of this malware has been identified and obtained followed by an in-depth analysis based on both static and dynamic techniques mainly using the IDA Pro disassembler in a virtual Windows 7 environment. Likewise, a thorough research activity has been carried out using open-source intelligence as supporting elements for the documentation of its capabilities, functionalities, and evolution through time as well as the attribution of its usage to different advanced persistent threats groups (APT). Finally, indicators of compromise for this threat have been identified, and the importance and utility of malware analysis and its results have been approached.

[CA] En aquest projecte de fi de grau es duu a terme una anàlisi detallada del troià d'accés remot referit principalment com "PlugX" o “Korplug”, i popularment utilitzat per actors d'origen xinés. Per a aquest propòsit s'ha identificat i obtingut una mostra recent, i s'ha emportat una anàlisi tant dinàmica com estàtica d'aquesta, fent servir principalment el desanssemblador IDA Pro en un entorn virtual d'anàlisi amb Windows 7. Així mateix, s'ha realitzat una profunda activitat de recerca sobre fonts obertes com a pilar de suport per a la documentació de les seues capacitats, funcionalitats, i evolució al llarg del temps, així com l'atribució del seu ús a diferents grups d'amenaces avançades persistents (APT per les seues sigles en anglés). Finalment, s'identifiquen els indicadors de compromís relatius a aquesta amenaça, i s'exposa la importància i la utilitat dels resultats de l'anàlisi de malware.