浅析:某授权绕过Steam令牌的背后究竟是何居心
文件名称:最新94一键授权登陆软件.exe
SHA256:SH3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802
运行环境:运行环win7
文件名称:xxxxx.tmp---->TemporaryFile .exe
SHA256:SH1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87
运行环境:win7
使用工具:WinHex IDA OD PEID
还是同一个关于盗号的主题,但是这一次是关于某授权通过ssfn文件绕过steam令牌的背后到底它做了什么!(ps:写帖子的时候电脑蓝屏导致可能有错误,如果大佬发现麻烦指出来。)
0X00 前言
浅析目前市面上搭配黑号最常用的94授权 ,最早我拿到样本的时候,其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 ,让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在。
这里就有很大的问题!
PEID查壳:
程序载入OD后你会发现并不是易语言的常见OEPpush ebp。
0x01
使用CreateProcessA创建一个新进程。
使用CreateProcessA创建一个新进程。
暂时先不管这个tmp到底是干嘛的 继续往下走。
调用exitpocess后结束了进程。
但是进程栏却多了一个进程。
那么首先就是把注意力放在tmp文件上。
使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本。
他们的大小还是有区别的。
0x02
通过分析修改后缀后的exe文件并没有什么可疑的行为。
那么也许问题还是出在原来的程序上。
至此大胆判断,目标程序执行流程应该是:
为了找到它的病毒tmp花了不少时间终于摸透了。
需要把这个选项给关掉才可以看到他隐藏的文件或者通过,
Attrib cmd命令行查看也可以。
0x03
通过winhex查看文件 发现是一个可执行文件 并且UPX加壳。
UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe。
如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了。
0x04 敏感行为
获取键盘记录。
查询IE缓存与修改。
取QQcookie。
老生常谈了。
键盘记录。
获取浏览器缓存。
创建一个新线程。
获取注册文件。(简单说一下这是干嘛的,用来存放用于系统COM+或者其他组件注册的相关文件。)
写俩文件:
这个error也就是开头的报错。
获取steam进程。
窃取用户cookie文件。
窃取Internet Explorer的缓存文件。
.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.o.o.k.i.e.s.\.6.8.0.M.2.Q.F.R...t.x.t.......LMEM....p.0.86-.....C)..C.:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5txt.......LMEM......0..6-.....l)..C.:.\.U.s.e.r.s.\.A.d.m.i.n.i.s.t.r.a.t.o.r.\.A.p.p.D.a.t.a.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.
拼接一下就是:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5.txt
其他获取QQcookie(通过快速登陆漏洞)等.....
TCP链接:
这应该是个远控功能,获取steam ssfn文件。
94授权作者服务器:14.18.240.77
盗号器作者服务器:43.248.186.95
至此,此授权的基本大致行为就分析完了。
下面是我画的流程图:
0x05 CatGames帖子必备的免杀测试
测试杀软:腾讯电脑管家,360安全卫士,火绒安全。
1. 腾讯电脑管家
指定扫描结果:
运行是否拦截(免杀.exe未拦截):
2.360安全卫士
指定位置扫描:
运行是否拦截:
样本.exe运行未拦截
3.火绒安全
指定扫描:
这有点看傻我。
运行是否拦截:
释放的时候还是会拦截。
后 记(来自Bilibili)
随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。
当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?
CatGames的小窝:CatGanes.cn
发帖的方式我希望大家都有一个独立的发帖方式,很多大佬都是很正常正规的发帖方法,而且就是喜欢不一样,毕竟世界这么大,一样多没意思~
感谢喵内ZZ的表情包(其实都是我偷来的)。
GLHF!
- End -
看雪ID:CatGames
https://bbs.pediy.com/user-809626.htm
本文由看雪论坛 CatGames 原创
转载请注明来自看雪社区
⚠️ 注意
2019 看雪安全开发者峰会门票正在热售中!
长按识别下方二维码,即可享受 2.5折 优惠!
戳
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
↙点击下方“阅读原文”,查看更多干货