🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

浅析:隐藏在游戏外挂中的盗号木马-光明中的黑暗

CatGames 看雪学院 2019-05-25

文件名称:病毒样本.exe

SHA256:9d2e499ddc4b7a1ed3a288f0bda807b09b5d701936d53b670f61862a06ec57c1


0x00


今日在分析一款游戏辅助的执行流程是发现的一些蹊跷,此款辅助会在C盘写入一个文件,文件LOGO是dota的LOGO经验告诉我 这玩意是有问题






0x01


外挂只有一个执行程序,我在分析的时候发现此款辅助会释放一个EXE,索性我就把它提取出来了,PE DUMP即可。


一般这种捆绑的exe都放在Resource里面,所以提取吧。




 


我把提取出来的分为两类:





UPX,好家伙,手脱ESP定律等方法,我这里快捷直接使用脱壳机。



脱壳完成




我下了一些注册表断点发现这个程序居然点进行直接停止了......





个人觉得 要么这个病毒模块的Resource中还有exe,dll 释放到其他进程 要么就是他有反调试。


我对于易语言常用的几个反调试的API进行了拦截,都是直接运行程序停止。


那么至此,也可以得出结论,这玩意绝对Resource中还有别的东西。




果不其然




通过EXEinfo对外挂模块进行提取,发现中间还真有一个dll。那么对于这个dll 开搞之前,先看看这个exe是如何把这个dll释放到其他进程的,还是做了其他事情。


运行时把自身拷贝到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile




并把自身后缀修改




运行时修改后缀即可,我们自行加一个后缀.exe





即可看到病毒程序




获取系统中所有运行中的进程和线程快照




CreateToolhelp32Snapshot()获得当前运行进程的快照后,再通过process32First函数获得第一个进程句柄




通过Process32Next获取下一个进程句柄




这里按F9之后,直接停止在此界面,此病毒正在获取我所有的进程快照并通过Process32Next获取下一个进程的句柄。


通过这个函数往堆栈的上面找可以看到病毒程序获取的进程信息







继续F9运行






病毒结束


我们回到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile


找到那个TemporaryFile查看那个病毒拷贝自身的exe


我至此还以为这个病毒有什么新颖的地方





终究依旧是这样,获取QQCookie 然后传回去




这是关于获取Steam进程后,再获取的授权文件。


ssfn2这种东西也就是市面上黑号啊什么的啊,那些叫什么91、94授权的东西。


写一个文件到steam某目录,然后再登陆黑号,需要登陆的黑号就不再需要邮箱steam令牌等各种验证。可以简单理解为一个身份令牌,有了这个令牌 你的电脑对于steam来说就是可信的。


那么也没什么看的,就是正常的获取返回给病毒客户端。


为什么我说这个是病毒客户端呢?后面我会找例子说明



0x02


我之前还说过这个病毒模块里面有个dll,那么我们先看看这个dll做了什么。


UPX 好家伙,上脱壳机吧!







从这个dll字符串来看,基本可以判定是获取steam ssfn文件的一个模块






具体这些东西是什么ssfn等各种steam的问题 请自行研究 。(ps:如出于技术研究是好的,但是盗号等请三思而后行!)


那么我前面说了 为什么我说病毒传回的是客户端呢?这就要关系到现在庞大的黑号产业链中萌生的一种新型软件,叫撸号器,顾名思义,盗号就完事了


我找遍了全网很多家专卖外挂的卡盟,终于找到了一家有卖撸号器的(其实卖的很多,只是我运气不好才找到一家)





说白了也就是这些东西




具体撸号器这玩意怎么用的、干嘛的、有啥用、真的能免杀?




我想用一张关系图表示,流程就是这么个流程




0x03


我下载了目前常用的三款杀毒软件




虚拟机安装后挨个测试免杀能力(至少我在微步分析这个的时候 360腾讯并未报毒)




1. 首先是腾讯电脑管家(ps:被扫描的病毒是未脱壳的,是为了模拟正常用户使用情况)




我们把病毒放在桌面新建文件夹kill me 用腾讯管家的指定杀毒。






腾讯安全管家运行情况



未进行拦截(我会把样本放在文章末尾)





2. 360安全卫士测试情况如下


指定病毒扫描结果如下




运行结果如下



3.火绒测试结果如下


指定位置扫描结果




运行结果




至此杀软测试已结束。


病毒作者服务器:43.248.186.95



我联系到了服务器提供商的客服


已提交反馈(至于他们处不处理 那就随他们 我能做的都做了:))






什么?还要我报警????我只做分析 其他的关我啥事啊。。。。。不受理我也没办法咯:)




对于杀毒软件我还有一点我想说的

不管是腾讯管家 360卫士 火绒 报不报毒不重要
追根溯源 这个东西是捆绑在外挂里面的
用户需求这个东西 就算报毒了 用户也会自行添加白名单信任此程序
另外大概一两个月前 发现某盗号病毒宣传可突破QQ邮箱二级密码等 
希望腾讯检查一下是否存在此漏洞


样本下载链接:https://www.lanzous.com/i3ufyxa

需要具体的外挂程序请发邮件到3331234895@qq.com获取


GLHF!



- End -


本文由看雪论坛 CatGames 原创

转载请注明来自看雪社区



看雪ID:CatGames         

https://bbs.pediy.com/user-809626.htm


他的其他文章:

浅析:爱国大黑客的病毒木马



热门图书推荐

 立即购买!




热门文章阅读

1、smali学习笔记之四种方法破解一个简单creakme

2、Themida 2.3.5.5分析

3、Linux内核fuzz技术——trinity

4、早鸟票优惠倒计时!看雪 2019 SDC 暑假北京见!




公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



↙点击下方“阅读原文”,查看更多干货!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存