首页
论坛
专栏
课程

[病毒木马] [原创]浅析:某授权绕过steam令牌的背后究竟是何居心-CatGames

2019-5-21 21:12 3734

[病毒木马] [原创]浅析:某授权绕过steam令牌的背后究竟是何居心-CatGames

2019-5-21 21:12
3734

【文件名称】:最新94一键授权登陆软件.exe
【SHA256】:3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802
【运行环境】:win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【文件名称】:xxxxx.tmp---->TemporaryFile .exe
【SHA256】:1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87
【运行环境】:win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【使用工具】:WinHex IDA OD PEID 
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

听说最近有人模仿我发帖的方式????

这就很尴尬呀......难受哟!!!

还是同一个主题 关于盗号的,但是这一次是关于某授权通过ssfn文件绕过steam令牌的背后到底它做了什么!(ps:帖子写的时候电脑蓝屏了 导致可能有错误 如果大佬发现麻烦指出来

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0X00 前言

浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在



这里就有很大的问题

PEID查壳


程序载入OD后你会发现并不是易语言的常见OEPpush ebp


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x01

使用CreateProcessA创建一个新进程

 

使用CreateProcessA创建一个新进程


暂时先不管这个tmp到底是干嘛的 继续往下走


调用exitpocess后结束了进程

但是进程栏却多了一个进程


那么首先就是把注意力放在tmp文件上


使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本


他们的大小还是有区别的

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x02

通过分析修改后缀后的exe文件并没有什么可疑的行为


那么也许问题还是出在原来的程序上

至此大胆判断,目标程序执行流程应该是


为了找到它的病毒tmp 花了不少时间终于摸透了


需要把这个选项给关掉才可以看到他隐藏的文件

或者通过


Attrib cmd命令行查看也可以

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x03

通过winhex查看文件 发现是一个可执行文件 并且UPX加壳


UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe


如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了



-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x04 敏感行为


获取键盘记录

查询IE缓存与修改





取QQcookie



老生常谈了


键盘记录


获取浏览器缓存


创建一个新线程


获取注册文件(简单说一下这是干嘛的,用来存放用于系统COM+或者其他组件注册的相关文件。)


写俩文件



这个error也就是开头的报错


获取steam进程


窃取用户cookie文件

窃取Internet Explorer的缓存文件


.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.o.o.k.i.e.s.\.6.8.0.M.2.Q.F.R...t.x.t.......LMEM....p.0.86-.....C)..C.:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5txt.......LMEM......0..6-.....l)..C.:.\.U.s.e.r.s.\.A.d.m.i.n.i.s.t.r.a.t.o.r.\.A.p.p.D.a.t.a.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.

拼接一下就是

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5.txt


其他获取QQcookie(通过快速登陆漏洞)等......


TCP链接


这应该是个远控功能

获取steam ssfn文件


94授权作者服务器:14.18.240.77

盗号器作者服务器:43.248.186.95

至此 此授权的基本大致行为就分析完了


下面是我画的流程图


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x05 CatGames帖子必备的免杀测试

测试杀软:腾讯电脑管家,360安全卫士,火绒安全

1. 腾讯电脑管家

指定扫描结果

运行是否拦截(免杀.exe未拦截)

2.360安全卫士

指定位置扫描

运行是否拦截

样本.exe运行未拦截

3.火绒安全

指定扫描


这有点看傻我了

运行是否拦截


 



释放的时候还是会拦截

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

后  记(来自Bilibili)

随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。
当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?



CatGames的小窝:CatGanes.cn

发帖的方式我希望大家都有一个独立的发帖方式,很多大佬都是很正常正规的发帖方法,而且就是喜欢不一样,毕竟世界这么大,一样多没意思

感谢喵内ZZ的表情包(其实都是我偷来的)
GLHF!




[挑战]看雪.纽盾 KCTF 2019晋级赛Q3攻击方进行中……,华为P30 Pro、iPad、kindle等你来拿!

最后于 2019-5-21 23:44 被CatGames编辑 ,原因:
上传的附件:
打赏 + 2.00
打赏次数 1 金额 + 2.00
收起 
赞赏  kanxue   +2.00 2019/05/22
最新回复 (18)
冰雪冬樱 2019-5-21 21:37
2
0
带样本好评
CatGames 6 2019-5-21 23:12
3
0
冰雪冬樱 带样本好评
快把你的雪B给我交咯
hzqst 3 2019-5-22 08:06
4
0
CatGames 快把你的雪B给我交咯
深海哥你来辣
最后于 2019-5-22 08:07 被hzqst编辑 ,原因:
CatGames 6 2019-5-22 08:11
5
0
hzqst CatGames 快把你的雪B给我交咯 深海哥你来辣
?????
killpy 2 2019-5-22 11:53
6
0
获取qq cookie能干啥  直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐  市面上百度云破解网盘 是不是有毒 谁分析过? 
CatGames 6 2019-5-22 11:55
7
0
killpy 获取qq cookie能干啥 直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐 市面上百度云破解网盘 是不是有毒 谁分析过?
你看看上撸号器的贴吧
CatGames 6 2019-5-22 11:56
8
0
至于百度云 充钱就完事了
Sprite雪碧 1 2019-5-22 12:15
9
0
killpy 获取qq cookie能干啥 直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐 市面上百度云破解网盘 是不是有毒 谁分析过?
QQ Cookie 貌似是指QQ快捷登录接口中的数据 拿到这个数据基本等于拿到了该QQ的所有权 可以实现发空间说说 向群/好友发消息 等操作
尐进 2019-5-22 13:24
10
0
Sprite雪碧 QQ Cookie 貌似是指QQ快捷登录接口中的数据 拿到这个数据基本等于拿到了该QQ的所有权 可以实现发空间说说 向群/好友发消息 等操作
正解 同时在拿到cookie的时候能拿到这个cookie当时的ip 只需要在使用的时候使用这个ip段就不会有异地的问题
如斯咩咩咩 2019-5-22 13:53
11
0
太细了。
Loopher 2019-5-23 09:29
12
0
看评论,细思极恐
Hades一KXXY 2019-5-23 09:40
13
0
国内的马也就在这种初级水平混了。
CatGames 6 2019-5-23 10:32
14
0
Hades一KXXY 国内的马也就在这种初级水平混了。
好的大佬 
Rookietp 2019-5-23 16:44
15
0
黑吃黑吃黑
CatGames 6 2019-5-23 20:21
16
0
Rookietp 黑吃黑吃黑
????
杰克王 2019-6-9 17:19
17
0
兄弟你的戏好多,现在大佬都这么皮的吗
mb_vxkwfbuo 2019-9-8 12:36
18
0
用过了之后怎么办啊
CatGames 6 2019-9-8 14:22
19
0
mb_vxkwfbuo 用过了之后怎么办啊
什么
游客
登录 | 注册 方可回帖
返回