首页
论坛
专栏
课程

[病毒木马] [原创]浅析:隐藏在游戏外挂中的盗号木马-光明中的黑暗-CatGames

2019-4-20 15:55 4261

[病毒木马] [原创]浅析:隐藏在游戏外挂中的盗号木马-光明中的黑暗-CatGames

2019-4-20 15:55
4261

文件名称:
病毒样本.exe
SHA256:
9d2e499ddc4b7a1ed3a288f0bda807b09b5d701936d53b670f61862a06ec57c1
---------------------------------------------------------------------------------------------------------------------

首先在文章开头先@腾讯电脑管家 因为此病毒不管是腾讯电脑管家指定病毒扫描还是直接运行 腾讯电脑管家都不给予报毒和拦截处理(文章中有测试GIF图)

0x00

今日在分析一款游戏辅助的执行流程是发现的一些蹊跷,此款辅助会在C盘写入一个文件,文件LOGO是dota的LOGO经验告诉我 这玩意是有问题



0x01

外挂只有一个执行程序,我在分析的时候发现此款辅助会释放一个EXE

索性我就把它提取出来了 PE DUMP即可 一般这种捆绑的exe都放在Resource里面

所以提取吧


 

我把提取出来的分为两类



UPX 好家伙 手脱ESP定律等方法 我这里快捷直接使用脱壳机

脱壳完成



我下了一些注册表断点发现这个程序居然点进行直接停止了



个人觉得 要么这个病毒模块的Resource中还有exe,dll 释放到其他进程 要么就是他有反调试

我对于易语言常用的几个反调试的API进行了拦截 都是直接运行程序停止

那么至此 也可以得出结论 这玩意绝对Resource中还有别的东西


果不其然


通过EXEinfo对外挂模块进行提取,发现中间还真有一个dll那么对于这个dll 开搞之前,先看看这个exe是如何把这个dll释放到其他进程的,还是做了其他事情


运行时把自身拷贝到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile


并把自身后缀修改


运行时修改后缀即可

我们自行加一个后缀.exe


即可看到病毒程序



获取系统中所有运行中的进程和线程快照


CreateToolhelp32Snapshot()获得当前运行进程的快照后,再通过process32First函数获得第一个进程句柄


通过Process32Next获取下一个进程句柄


这里按F9之后 直接停止在此界面 此病毒正在获取我所有的进程快照并通过Process32Next获取下一个进程的句柄

通过这个函数往堆栈的上面找可以看到病毒程序获取的进程信息




继续F9运行



病毒结束


我们回到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile

找到那个TemporaryFile查看那个病毒拷贝自身的exe

我至此还以为这个病毒有什么新颖的地方



终究依旧是这样 获取QQCookie 然后传回去


这是关于获取Steam进程后 再获取的授权文件
ssfn2这种东西也就是市面上黑号啊 什么的啊那些叫什么91 94授权的东西
写一个文件到steam某目录 然后再登陆黑号 需要登陆的黑号就不再需要邮箱steam令牌等各种验证
可以简单理解为一个身份令牌 有了这个令牌 你的电脑对于steam来说就是可信的
那么也没什么看的 就是正常的获取返回给病毒客户端
为什么我说这个是病毒客户端呢?后面我会找例子说明


0x02

我之前还说过这个病毒模块里面有个dll 那么我们先看看这个dll做了什么

UPX 好家伙 上脱壳机吧




从这个dll字符串来看 基本可以判定是获取steam ssfn文件的一个模块



具体这些东西是什么ssfn等各种steam的问题 请自行研究 。(ps:如出于技术研究是好的,但是盗号等请三思而后行!)

那么我前面说了 为什么我说病毒传回的是客户端呢? 这就要关系到现在庞大的黑号产业链中萌生的一种新型软件,叫撸号器,顾名思义,盗号就完事了

我找遍了全网很多家专卖外挂的卡盟 终于找到了一家有卖撸号器的(其实卖的很多 只是我运气不好才找到一家)



说白了也就是这些东西


具体撸号器这玩意怎么用的 干嘛的 有啥用 真的能免杀?


我想用一张关系图表示 流程就是这么个流程



0x03

我下载了目前常用的三款杀毒软件


虚拟机安装后挨个测试免杀能力(至少我在微步分析这个的时候 360腾讯并未报毒)


1.首先是腾讯电脑管家(ps:被扫描的病毒是未脱壳的,是为了模拟正常用户使用情况)


我们把病毒放在桌面新建文件夹kill me 用腾讯管家的指定杀毒



腾讯安全管家运行情况


未进行拦截(我会把样本放在文章末尾)





2.360安全卫士测试情况如下

指定病毒扫描结果如下


运行结果如下




3.火绒测试结果如下

指定位置扫描结果


运行结果


至此杀软测试已结束

病毒作者服务器:43.248.186.95


我联系到了服务器提供商的客服

已提交反馈(至于他们处不处理 那就随他们 我能做的都做了:))



什么?还要我报警????我只做分析 其他的关我啥事啊。。。。。不受理我也没办法咯:)



对于杀毒软件我还有一点我想说的
不管是腾讯管家 360卫士 火绒 报不报毒不重要
追根溯源 这个东西是捆绑在外挂里面的
用户需求这个东西 就算报毒了 用户也会自行添加白名单信任此程序
另外大概一两个月前 发现某盗号病毒宣传可突破QQ邮箱二级密码等 
希望腾讯检查一下是否存在此漏洞
样本下载链接: https://www.lanzous.com/i3ufyxa

需要具体的外挂程序请发邮件到3331234895@qq.com获取
CatGames的小窝

GLHF!



[挑战]看雪.纽盾 KCTF 2019晋级赛Q3攻击方进行中……,华为P30 Pro、iPad、kindle等你来拿!

最后于 2019-4-21 18:35 被CatGames编辑 ,原因:
打赏 + 1.00
打赏次数 1 金额 + 1.00
收起 
赞赏  炒米肉松   +1.00 2019/04/26
最新回复 (19)
CatGames 6 2019-4-20 15:55
2
0
111111111111111111111111111111111111111
冰雪冬樱 2019-4-20 16:00
3
0
还是这么多表情
CatGames 6 2019-4-20 16:21
4
0
后来我有思考了一下 其实这种病毒并不需要做什么繁琐的注册表写入 等 因为用户永远会下一次运行这款外挂 能做到长期盗号的效果
hzqst 3 2019-4-20 16:28
5
0
只有ssfn没密码一样没法登录steam的吧
jackandkx 10 2019-4-20 16:36
6
0
干坏事就加个upx?小学生吧。
CatGames 6 2019-4-20 17:04
7
0
hzqst 只有ssfn没密码一样没法登录steam的吧
可是黑号等就是有密码呀
CatGames 6 2019-4-20 17:04
8
0
jackandkx 干坏事就加个upx?小学生吧。
见怪不怪了 
Nerium 2019-4-20 17:18
9
0
这个表情包可谓是贼丰富了。
CCkicker 2019-4-21 15:20
10
0
前排前排 哈哈
pushmop 2019-4-21 15:50
11
0
这个表情包是现做的吧
CatGames 6 2019-4-21 17:57
12
1
pushmop 这个表情包是现做的吧
完了被发现了 是不是表情包画质太好了
niuzuoquan 2019-4-21 21:16
13
0
mark
黑手鱼 3 2019-4-23 19:34
14
0
表情包很有趣
mb_uowhymqm 2019-4-23 21:39
15
0
表情包很有趣   内容也挺好的
MoonU 2019-4-24 21:36
16
0
大佬,明天我分析下,有不懂的地方还得您多指导,谢谢
天堂猪 2019-4-25 14:41
17
0
steam自动登录不判断IP来源的么
CatGames 6 2019-4-25 15:34
18
0
天堂猪 steam自动登录不判断IP来源的么
你可能没懂我的意思
Victorgg 2019-4-26 14:41
19
0
大佬,决定follow你了,多发点文章啊 
pushaojie 2019-5-5 10:36
20
0
大佬牛逼,,,,我决定跟着你学习了!!
游客
登录 | 注册 方可回帖
返回