查看: 2800|回复: 6
收起左侧

[分享] 【腾讯】酷玩游戏盒子冒用知名公司数字签名,传播Steam盗号木马

[复制链接]
bambooslip
发表于 2018-12-11 20:47:59 | 显示全部楼层 |阅读模式
0x1 概述

腾讯御见威胁情报中心近期监测到“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件传播Steam盗号木马,该木马累计已感染超过5万台电脑。软件运行后会首先下载伪装成WPS的病毒,再下载安装“独狼”Rootkit病毒,最终进行营销推广、恶意推装更多软件来获利。


溯源分析还发现制作“独狼”Rootkit木马的作者疑似伪造“北京方正阿帕比技术有限公司”正规的数字签名,该病毒文件会下载Steam盗号木马,因病毒程序拥有合法数字签名导致多款杀毒软件未及时查杀,这是该病毒感染超过5万电脑的原因。

0x2 详细分析0x2.1 传播渠道


木马传播流程图


酷玩游戏盒子


桌面助手

酷玩游戏盒运行后下载木马“wps.exe”保存到目录

%UserProfile%\AppData\Roaming\feitiancb\wps.exe。

“wps.exe”释放Rootkit病毒kcbhgyd.sys到C:\windows\temp\目录,然后kcbhgyd.sys注入explorer.exe进程并释放下载木马dass.exe。

0x2.2 kcbhgyd.sys(独狼Rootkit模块)

此模块为独狼Rootkit模块,独狼Rootkit是一个长期通过多渠道(激活工具,盗版系统,破解软件,流氓软件)分发的Rootkit家族,独狼主要通过以下技术点和安全软件做对抗。




2代独狼对所有明文字串进行了加密,增加了内核反调试,且结合3环注入实现了云控化的木马升级传播体系。



独狼2-DownLoader功能代码


毒狼2劫持配置

独狼家族Rootkit详细分析:

https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow


而此次独狼Rootkit病毒配置文件内容为,先下载dass222222.exe模块,然后dass222222.exe再下载xls.jpg、doc.jpg、ppt.jpg、wps.jpg并将其注入iexpress.exe执行。


doc.jpgPE文件

该文件功能为营销推广


wps.jpgPE文件

该文件功能为下载推装“大象截图”



大象截图安装包




通过追踪溯源,我们还发现独狼Rootkit还曾经传播另一个病毒模块Linking.exe

0x2.3 签名盗用

Linking.exe木马盗用了某公司签名“Beijing Founder Apabi Technology Limited

”。拥有合法公司签名使该木马能够取得系统及杀毒软件的信任,从而增加获得执行和驻留的机会。御见威胁情报中心发现近一周内使用该签名的木马文件多达300余个且以盗号木马为主,可见不法分子已经对该签名进行了批量利用。


查询发现该签名所属公司实际为“北京方正阿帕比技术有限公司”(北大方正信息产业集团有限公司旗下子公司),该公司官网显示公司主要业务为数字出版技术与服务提供商。


通过查看其公司提供下载的产品来看,都是比较纯净的数字阅读相关软件,推测原因可能是该公司签名被恶意软件传播者盗用,而通常签名被盗用的来源有两种:

1、窃取证书:网络犯罪分子入侵厂商软件发布流程从而窃取数字证书。

2、伪造证书:网络犯罪分子模拟合法厂商信息向签名认证机构申请数字证书。(可能使用社会工程学的手段)

木马(左)与正常软件(右)签名对比

进一步对比发现木马使用的签名颁发者为Digicert,而该公司正常软件的签名颁发者为VeriSign (symantec)。同一家公司很少向两家不同的认证机构申请认证服务,因此极有可能是属于伪造证书的情况,即木马作者疑伪造“北京方正阿帕比技术有限公司”公司的信息向Digicert申请了数字证书。

0x2.4 Steam盗号木马

Linking.exe木马下载steam盗号木马hxxp://208.110.69.100/cj.exe


木马通过CreateToolhelp32Snapshot枚举进程并找到steam.exe


查找Steam进程窗口


然后从资源文件中获取dll文件“HELPER”


通过AdjustTokenPrivileges提高当前进程权限


然后将Dll文件“HELPER”通过CreateRemoteThread注入到Steam.exe进程,利用注入的dll盗取用户Steam账号信息。


Dll文件“HELPER”通过对比SteamUI.dll模块指定偏移字节码判断版本。


通过注册表设置STEAM不再记住密码


接着枚举控件,通过比较名称方式获取到控件ID,窃取用户账号密码


安全建议
1、 网民通过安全可靠的渠道下载软件,对有签名的软件也不可轻易信任。
2、 软件厂商有义务保护好自有数字签名安全,发现公司签名受到攻击,建议及时发布公告,或通过官方渠道联络证书颁发机构将非法申请的证书注销,以减少网民损失。
3、 保持电脑管家开启可拦截该木马。

电脑管家下载保护拦截到病毒下载


电脑管家查杀该病毒


IOCs

C2

222.186.138.30

208.110.69.100

208.110.69.98

69.30.193.66

222.186.57.99

222.186.151.132

69.30.242.182

68.197.191.92


url

hxxp://208.110.69.100/aa.exe

hxxp://208.110.69.100/15.exe

hxxp://208.110.69.100/x/2.exe

hxxp://208.110.69.100/cj.exe

hxxp://208.110.69.100/x/cj.exe

hxxp://208.110.69.100/x/15.exe

hxxp://208.110.69.100/x/aa.exe

hxxp://208.110.69.98/k/aa.exe

hxxp://208.110.69.98/k/c0822.exe

hxxp://208.110.69.98/k/cj.exe

hxxp://208.110.69.98/k/x4.exe

hxxp://208.110.69.98/k/safeload.exe

hxxp://208.110.69.98/k/cross.exe

hxxp://208.110.69.98/k/downer.exe

hxxp://208.110.69.98/k/4.exe

hxxp://222.186.138.30:8080/tgp.exe

hxxp://222.186.138.30:8080/2018.exe

hxxp://69.30.193.66/cj.exe

hxxp://69.30.193.66/aa.exe

hxxp://69.30.193.66/91.exe

hxxp://69.30.193.66/15.exe

hxxp://222.186.57.99:8080/wpltbbrp_017.exe

hxxp://222.186.57.99:8181/2018.exe

hxxp://222.186.57.99:8080/aa.exe

hxxp://222.186.57.99:8080/qq.exe

hxxp://222.186.151.132:8181/downer.exe

hxxp://222.186.151.132:8181/c0831.exe

hxxp://222.186.151.132:8181/x/cross.exe



Md5


kuwanbox

407677efe7fe446f745083d5115325dc

19a0a1f27a847b4fbc1ac284c4d7f3b5

7345a8b41d4b5f7c9d499bcdf7febf17

5d54e06a0574a909b6de45d78e17466f

fc19efb68a038838d52b78407f163de0

04b01246893dd76f11de0375565be837

a560bc3e23ff8eee824468081d78ac83

824f908e35f02be4eb69a8b6bd5ae31a

2080da575310dddd6755e5f15f341b50

ef13884980e57ca4a700da41a00360d7

d554aaaa3f12e940cc87cd37d6fb47a6

71da18a5cd8e594eacd90654a5e0c6b3

1c33de3a9d7402cb3fd32d1dae1e07f5

b97a60ed53d0bfb4020361305c76b9fa

631f970d1bbd4b394632eeef596614b0

6aeb0b95c312cef22b26422216f6790c

19a0a1f27a847b4fbc1ac284c4d7f3b5


feitiancb\wps.exe

ea20596d44d6ec6af7a70aa7fbc795c0

ec9a3bd06946f2f9a0bd82573161e2db

e74cc28f2227f033116d94952a121d31

6fddc26c19b5b300a7d5903caecc1894

70eb0718710065b45734810feef3e70d


sysload

86f9d8b955ec9b9a58abf22aae3d6e52

b583c6d1e133410938cfc185baea7945

02e6576ceb871160953326f9c356c598


kcbhgyd.sys

0cea624e48f20f718198ab7349bb1eea  

1e4aba82cd817bc1ac31a1b40bf47ff0


Linking.exe

ec904aab02306bcd033634ae79fea662

f9f1eaa5d0e862a8074c7c0b8b58942b

419f1f778e1405354fd34e5293edd52d

a170e4886f804cae5f6e48f65fdf993a

cfe79da256441e45195d6f47049cb2a8

8404df7baeeeda75bcc5405ce0854827

6eee39eb31932185272127245d74753e


steam盗号

e86a9f5819582493837850a25c28915e

67e17b91f0ecf87d87f54161bb739a34

f4d8efa9d91e4e4bd7be7ff763f7513e

11bb3bd3f9534a23f6272725392fe757

95ee69e46fed5ea4c2975911aa53e9dd

07525127c44acb02f75452b44c176204

a7eb17ec342b93574b805fcc95696b2d

e86a9f5819582493837850a25c28915e


参考资料

独狼家族Rootkit详细分析:

https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow


zmyx279323199
头像被屏蔽
发表于 2018-12-11 21:20:57 | 显示全部楼层
截图还是n年前的版本
潘中医
发表于 2018-12-11 21:29:55 | 显示全部楼层
这是穿越了?火绒9月份就报了哦~~
http://bbs.huorong.cn/thread-49257-1-1.html
vm001
发表于 2018-12-11 22:22:23 | 显示全部楼层
楼主上传的图片不是png的吗?为啥你的图片用edg浏览器不显示呢?
bambooslip
 楼主| 发表于 2018-12-11 22:34:12 | 显示全部楼层
vm001 发表于 2018-12-11 22:22
楼主上传的图片不是png的吗?为啥你的图片用edg浏览器不显示呢?

copy的,格式是PNG,我也不晓得为什么
大耳朵小世界
发表于 2018-12-19 15:26:53 来自手机 | 显示全部楼层
火绒先报的吧
遁入深山
发表于 2018-12-20 14:33:15 来自手机 | 显示全部楼层
冒用数字签名,厉害了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:01 , Processed in 0.152555 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表