|
背景描述 黑产利用QQ空间来进行群发广告进行导流的情况,想必大家都已见过,但对于单纯的发布引流广告带来的收益,他们似乎并不满足。
近期,毒霸“捕风”威胁感知系统监控到一款针对在线棋牌游戏进行盗号,并且同时能够在英雄联盟客户端内群发博彩广告,从而进行引流的木马。和之前的棋牌盗号类木马不同,以往的棋牌游戏盗号木马往往只是利用百度SEO优化或者竞价排名,让山寨客户端排名靠前,从而吸引用户下载,而这次的盗号者则一改常态,选择主动出击,对安装了正规棋牌游戏厂商,如:1378、集结号、辰龙游戏等的本地客户端进行篡改,拦截其安全消息的提示,从而最终盗取账号密码以及游戏金币。
而对于在英雄联盟客户端内发广告引流的木马,尚属首次发现,木马作者通过调用英雄联盟客户端本地消息发送的API,当一局游戏结束显示战绩时,就会发送博彩群的广告或者链接,为了避免消息被过滤拦截,还会采用同音字替换的方式绕过过滤拦截。
根据对相关传播样本的分析,我们认为该样本的源头来自于网吧环境,在分析期间,该病毒的插件的功能也是每天更新,单个变种感染量达3W+。
技术分析该病毒的主要运行流程如下:
病毒运行后,首先会复制自身到system32下一个随机命名的文件夹里,然后重命名伪装自身为系统文件,会被伪装的文件名列表如下:
木马一:英雄联盟广告木马 病毒作者提前将该木马上传到了公共图片服务器中(新浪、百度、网易),以防止安全分析人员溯源、追查到其真实身份,上传放置图片所用的服务器如下: 但其实对于使用了新浪图片外链的链接,是可以反查追溯到源头的,例如上面图片中所使用的新浪图片链接,反查到上传者的信息如下:
从第一条上传的日期来看,这个木马从2018年9月份就开始活跃了:
下载得到的文件,同样是伪装加密的图片文件,解密后,依旧是一个DLL文件,而这个DLL就是最终的木马文件。 病毒利用c:\sdlfkjsldjfsldkfjs.txt文件作为开关标记文件,若文件存在,则不执行后续的操作,该DLL文件中包含了两个额外的PE文件:CURL库文件和一个用于注入LeagueClient.exe进程的文件。
该DLL文件加载运行后,首先会创建3个线程: ① 线程一
② 线程二 针对英雄联盟客户端进行注入操作,将自身释放出的一个PE文件,注入进LeagueClient.exe,主要为获取auth-token值和app-port值,然后将获取得到的值存放在C:\ a.dat中,为后续构建发送消息的链接所用: ③ 线程三 根据获得的auth-token值和app-port值,构建相应的消息发送链接,然后发送相应的广告信息,完成博彩广告的发送:
除了在英雄联盟客户端内发送博彩广告外,病毒还会利用QQ的快速登录,盗取ClientKey值,然后在空间的说说中,加入定时说说,定时发送广告:
木马二:棋牌游戏盗号木马 该棋牌游戏盗号木马插件主要针对以下4款游戏:
木马通过检测以上4款游戏窗口找到游戏主进程,然后通过远程线程注入盗号DLL模块,挂钩指定函数,在用户进出游戏房间、存取游戏币、修改帐号密码等操作时拿到账户信息并上传。 以“1378游戏中心”盗号木马为例,当检测窗口标题为“1378GameCenter”时,就会释放DLL到C:\Windows\Temp\%d.dll,并注入游戏进程。
盗号DLL模块在游戏进程加载后,会挂钩游戏相关的功能函数,拦截游戏内部消息。在用户进行登录、进入房间、存取钱、绑定解绑、修改密码等操作时,获取用户账户密码、银行密码、游戏币等数据,并加密上传至服务器。
挂钩代码,针对多个DLL中的函数进行挂钩代码如下:
一共有5个挂钩函数: 挂钩函数1:拦截正常的游戏消息并分别处理: 该钩子函数针对用户登录游戏、打开银行、存取游戏币、进入游戏房间、绑定解绑等操作都进行了行为记录,并和用户账户信息、密码、游戏币等上报到远程服务器。
上报数据明文格式如下: Pr_ID=%d,Pr_Mark=%d,Pr_Money=%d,Pr_Name=%s,Pr_Msg=登录游戏,Pr_Ver=03-11, Pr_ID=%d,Pr_Accunot=%s,Pr_Accunot_Key=%s,Pr_Code=%s, Pr_ID=%d,Pr_Common=%s,Pr_MAC=%s,Pr_ChoiceLongin=%d, Pr_ID=%d,Online=12345,
其中针对登录游戏、进入房间、修改密码这3类操作会获取并上报用户的机器码Pr_MAC用于远程解绑洗号。
当账号异地登录时会替换本地的提示消息,防止用户发现账号被盗:
挂钩函数2:上报用户进入的房间名:Pr_ID=%d,Pr_Room=房间名,
挂钩函数3:用户退出房间时上报:Pr_ID=%d,Pr_Msg=退出房间,
挂钩函数4:用户退出房间\退出游戏\切换账号时上报
挂钩函数5:偷分(盗取游戏币) 疑似调用游戏内部函数完成游戏币盗取,暂时无法触发调用。
上报格式: Pr_ID=%d,Pr_Money=%d,Pr_Toal=%d,Pr_Bank_Money=%d,Pr_Steal_Bank=%d,Pr_Msg=偷分中
上报函数会上传收集到的用户游戏账户信息,并每30秒发送一个心跳包,上报数据经过rc4加密和base64编码后发送至链接129.211.126.131/index.jsp?Act=Update&Data=%s
以下是病毒作者服务器上收集到的账号信息:
附录IOCMD5: 32abecf1d0e8e12f196dcf4e49d1bd92 f658d68f85a192e9839d5ddc7c526aec 06b26b1db9eb41a6b2d13b1a83acc9b2 f447d59a958733a5de72fe20beebb4a2 c0511a18f46de23819edfbeccff0513b 6d98c1dfa61f304a9222c795329a44c8 6e9eb752f1fdf2814d82fff29bf25850 5e3a3c1dbe6a4b39a6cd146380b452dc 31558c5ff2dbd2d57159a804c770821b fa2fd16e6db11c3ae0e92a9f85c7fcb2
URL: https://weibo.com/u/6727188567 http://1.huiccc.com/getsb.php?id=123178 http://1.huiccc.com/ http://www.hjhmc.com/ http://www.hjhmc.com/getsb.php?id=123178 http://1.huiccc.com/down/0416.jpg http://api.hjhmc.com http://api.tao606.com http://api.6688cy.com http://api.qq8819.com http://43.224.29.58/msg/1.txt http://43.224.29.58/msg/2.txt
| 
发表于 2019-4-24 18:40:17
楼主