|
0×1 概述 腾讯御见威胁情 报中心近日检测到某游戏的死神外{过}{滤}挂工具被内置远程控制木马。这个外{过}{滤}挂程序运行前,先欺骗诱导用户关闭杀毒软件,声称本外{过}{滤}挂程序会被杀毒软件“误杀”。一旦游戏玩家信以为真,在关闭或退出杀毒软件之后运行外{过}{滤}挂程序,暗藏在外{过}{滤}挂程序包里的farfli家族系列远程控制木马就被释放运行。 当游戏玩家在电脑上运行这个死神外{过}{滤}挂程序之后,电脑即被黑客完全控制而沦为“肉鸡”。外{过}{滤}挂程序释放的farfli家族系列远程控制木马会在内存中装载一个CMD命令控制台,可供黑客执行任何命令。 这个远程控制木马还可以监控电脑屏幕、监控麦克风、摄像头,监控中毒电脑的每一个键盘操作,远程控制电脑重启、注销或关机;远程控制中毒电脑下载安装任意程序;攻击者还可以控制肉鸡电脑发起DDoS攻击。 一句话总结:就是游戏玩家一旦退出杀毒软件,运行这个死神外{过}{滤}挂辅助程序,这台电脑就不再是自己的了,游戏玩家在电脑中的一切都将暴露在黑客眼前。 图1
0×2死神外{过}{滤}挂分析 该游戏外{过}{滤}挂以死神为名,运行后会释放出恶意木马程序。 图2 木马流程图
图3 释放出的木马exe经简单花指令后,执行内存装载函数,传入名为PluginMe的导出函数执行。
图4 木马进一步在内存解密出一个PE文件
图5 解密算法使用简单的凯撒移位+异或实现,通过内存Dump出解密文件可知为一个DLL模块,分析后可知该DLL为一个支持CMD后门、屏幕监控、摄像头监控、语音监控、键盘记录和DDoS攻击等功能的恶意远程控制木马,木马使用双C2来进行肉鸡远程操控。 图6 C2地址1:keikei.f3322.net
图7 C2地址2:ip.yototoo.com
图8 键盘记录功能
图9 屏幕信息监控
图10 ShellExecute指定参数执行,浏览器带参指定执行
图11 创建管道形式的CMD后门
图12 窃取进程信息
图13 窃取窗口信息
图14 DDoS网络攻击
图15 网络攻击相关代码
图16 清除系统日志
图17 指定提权强制关机、注销、重启
图18 拉取云端文件下载执行
图19 下载者功能
图20 卸载自身功能模块文件,从此处也可知该木马还支持下发插件形式的语音、摄像等隐私窃取功能。
0×3 溯源分析 1. 作者溯源 通过搜索引擎查找关键字”死神”外{过}{滤}挂辅助程序,可在某外{过}{滤}挂编程论坛找到疑似作者发布的招收代{过}{滤}理信息页面。 2. 代{过}{滤}理溯源 通过搜索引擎查找该辅助代{过}{滤}理信息,进一步找到一个名为“ 林天科技网”的网盘地址,可发现该网盘售卖辅助品牌品类繁多,有死神科技、虐杀、瘟疫等多个“品牌”的辅助在售卖。
图22 下载网盘中最新版的死神3.0版本,解压后打开作者留下的使用说明,可发现作者提示用户第一句话为:先关闭杀毒软件,以防止“误杀”。
图23 实际测试网盘中的3.0版本依然会释放出名为Server.exe的恶意远程控制木马。
图24 通过腾讯御见威胁情报中心平台查看C2地址:Ip.yototoo.com信息,可发现该C2关联到大量的恶意样本,均为后门远程控制类型,可知该辅助作者擅长使用特洛伊类型木马。目前暂不清楚此次木马投放行为为死神辅助代{过}{滤}理作为,还是死神辅助作者所为。
图25
0×4安全防范建议 1. 不建议游戏玩家使用外{过}{滤}挂、游戏辅助工具等软件在游戏中作弊; 2. 如果某个外{过}{滤}挂或游戏辅助工具建议你在运行前关闭杀毒软件,应小心这是陷阱,病毒木马传播者一贯用类似手段欺骗用户退出杀毒软件; 3. 推荐用户使用腾讯电脑管家拦截假冒游戏外{过}{滤}挂或游戏辅助工具的病毒木马。
0×5 IOCs MD5 69197c047e2c1737c0f29b02ad0cb6ca cbfe69aa36b3bb2b1bd9f5789013da56 C2 keikei.f3322.net Ip.yototoo.com
| 
发表于 2018-7-12 17:38:02
