浅析:一键盗号究竟是何方神圣?盗号器篇
大家好!我是练习时长两年半的自闭逆向练习生。
CatGames
我喜欢唱、跳 、自闭 Music!
此次样本三款杀软均有无报毒,文章下面有测试截图。
继上一篇文章:浅析:隐藏在游戏外挂中的盗号木马-光明中的黑暗
这篇文章我觉得我应该有说错的地方,如果大佬发现麻烦在评论指出来!
上一篇说到,现在都流行一种叫撸号器的,撸号器那么厉害,这次就搞一搞!
这是我在市面上下载的一款名为心瘾的撸号器,为了保证此款撸号器的功能解析,我破解了他的登陆,那么具体的看下面。(并不提供如何破解,自行研究,为了防止某些不法分子拿了方法去破解然后盗号。)
这里有的小白可能就会比较误解,直接打开程序 401000,最后发现自己要找的特征码和地址都找不到,这是为什么呢?
易语言支持三种编译方式:1.编译;2.静态编译;3.独立编译。那么这个作者就使用了第一种。
点击编译后:
点击保存,但是你会发现系统又提示一个说需要把依赖项写到同一目录。
我们这边什么都没写,所以他只帮我们写出去了一个依赖文件。
这两个必须放在一起才能运行,不然的话是无法运行的,就比如这个撸号器一样。
将客户端单独放在桌面
会有一个Error 错误提示:
易语言普通编译也就是直接编译,指的是不把支持库等依赖一起编译,就等于如果你要把软件发给别人使用的话,那别人也必须又支持库才行!
独立编译:运行时会把需要的支持库释放到一个系统临时文件夹的子目录内,然后运行。
静态编译:运行是不需要任何的支持库支持就可以运行,支持库已经和exe结合到一起了。
好家伙 !!!但是我只能说绝对没有反调试,别问我为啥,因为他直接编译要调用支持库。如果他加了反调试等VM 花指令,程序会跑不起来(因为我试过)具体的自行尝试即可。
因为他是调用支持库验证,这里会有很多小白不懂,因为,他们搜需要的特征码却发现找不到!这里我用一个简单的方法找到,他是调用哪个支持库验证的!
先运行 ,运行之后点击登陆!
点击暂停,然后alt+F9 执行到用户代码,接着点击那个错误的弹窗即可。
可以看到是调用krnln模块验证的。
那么接下来就是爆破。
爆破完成。(只说明如何找到调用模块,其他的自行研究)
这个是生成shell 远控的
这个是steam密正
这个是QQ码
我生成了三个马,分别是steam密正、QQ码、shell后门远控。
这玩意还是用了腾讯的数字签名,但是我觉得没什么卵用!
提权到debug权限
使用CreateToolhelp32Snapshot获取系统正在运行的进程,在堆栈下面找可以找到它获取的进程信息。
获取操作系统信息
创建一个线程
这个localhost.ptlogin2.qq.com 已经见怪不怪了,大家都懂的了。
再一次调用CreateToolhelp32Snapshot。
这一次获取的是Steam进程。
后续的话,基本跟之前一样,调用CreateToolhelp32Snapshot获取进程信息,然后CreateThread创建一个线程来获取QQ快速登陆的cookie/key 。最后发现他有访问steam的记住密码。
这UI抄的还蛮像的,真是不得了。但是确实是网上开源的防QQ UI的源码。但是这玩意要是在真实情况下,我觉得是个正常人都会去点的吧!
输入超多个111111之后 就会传回去
NB就完事了, 服务器是美国的!!!
突破就完事了,具体有没有用,还得看测试结果。
社工操作基本上获取财付通等各种绑定的信息。
这是我生成的一个QQ,点击登陆后。
这边马上提示有新的QQ,这些正好是我输入的东西。
Steam密正:
获取了我的密码和ssfn文件,然后我下载下来,正好就是我steam目录下的ssfn文件。
点击一键授权或一键登录,后我也不需要在进行QQ邮箱的验证。
shell远控后门。(因为他程序每次只能打开一个功能的木马程序,所以我只能分开测试。)
这个shell ,我弄了很久也没懂这玩意怎么用,是反弹还是怎么?还是需要登陆QQ?这些我都测试过了,shell就是没反应!!!
所以我无法验证验证他是如何突破的QQ独立密码。
还是老规矩
解压一台全新的虚拟机。下载目前普通用户最长使用的三款杀毒软件:360、腾讯电脑管家、火绒。
作者说过一切杀毒软件自动拦截! 你这是不把腾讯管家等杀软放眼里呀!!
1. 腾讯电脑管家免杀测试
指定位置扫描:
只有一个QQ盗号木马报毒,shell和steam密正均未报毒。
病毒运行是否拦截?
因为QQ木马扫描已经报毒杀掉了,那么运行就更不用说了。所以不测试QQmuma.exe。
shell测试没有被拦截。
steamMZ测试没有被拦截。
2.360安全卫士测试情况
指定位置杀毒:
运行情况:Shell.exe拦截成功。
Steammz.exe拦截成功。
3.火绒安全测试情况
指定位置扫描:
运行拦截测试情况:QQMuma.exe 等待30秒,火绒无拦截。
Shell.exe:拦截成功。
SteamMZ.EXE:拦截成功。
撸号器作者服务器:154.95.20.80
登陆地址:http://154.95.20.80/nc/q/clogin.php
下面是盗号器作者给出的如何钓鱼上钩盗号
个人建议:看图
随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?
如果需要撸号器样本的请发邮件到3331234895@qq.com 并表明你的来意~ CatGames小窝欢迎你!
- End -
看雪ID:catgames
https://bbs.pediy.com/user-809626.htm
本文由看雪论坛 catgames 原创
转载请注明来自看雪社区
戳
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
↙点击下方“阅读原文”,查看更多干货