概述: 很多人喜欢将QQ空间的空间相册功能当做照片网盘,把一些自己或是珍贵、或是敏感的照片保存在QQ空间的相册中,并设置访问权限阻止其它人访问,从而达到拥有一个私人相册的目的。但如果有人想破解这个访问权限,是否困难呢?
要回答这个问题,就需要知道QQ快捷登录的原理,简单讲就是如果黑客获取了你QQ的一个叫ClientKey的东西,那么他就能直接进入你的QQ空间查看加密相册,而ClientKey的获取,对于黑客而言并不复杂。
以我们发现的一个盗取ClientKey的木马为例,近期毒霸工作人员接到用户反馈,电脑反复出现盗号木马的提示,跟进后发现都是由同一类游戏修改器反复释放而来,该木马盗取QQ的ClientKey之后,利用QQ的第三方登录功能,登录第三方网站进行暗刷、论坛刷帖等功能。
通过对后台上报信息进行梳理后,我们发现该木马来自一些古老的游戏修改器、绿色软件等小工具类产品,从代码风格和域名来看,均为同一人使用VB所编写。由于VB语言的编译特性,程序具有较好的免杀效果,截止目前,VT上只有一款杀软能够检出该木马: 分析: 病毒从被作者发布到执行,大体流程如下: 由于部分玩家想使游戏增加额外的“乐趣”,喜欢去网上搜索游戏修改器,而病毒作者也瞄准了这类需求,针对性的将游戏修改器和病毒打包在了一起,并上传至各大下载站,目前发现的主流下载站主要有以下三个:
这类下载站由于SEO优化较好,在搜索引擎结果中排名靠前,因此也会获得较多的展示下载机会,尽管杀软会对下载的文件报毒,但用户在此类刚需的情况下,更喜欢主动忽视、甚至是关闭掉杀毒软件,病毒也因此获得最终的执行机会。
当用户下载到被二次打包的软件,双击打开后,该安装包会释放出一个下载器模块setup.exe到temp目录:
该文件会二次下载一个包含有WPS升级程序的白文件,由于该升级程序是通过命令行传入参数来获取下载地址,但却没有对下载链接做任何限制,而该升级程序本身是正常文件,部分杀软也会直接放行,故被病毒利用来下载执行指定文件。在访问远程地址获得后续需要的配置文件后,发现目前主要下发一些推广软件和盗号木马,配置文件被加密保存在作者的服务器上:
配置解密代码如下:
中盗号木马下载地址为hxxp://tyl123.cn/tmp/0003.exe,该文件中内嵌多个PE文件模块:
0003.exe运行后,会等待5分钟再执行后续操作,猜测是为了躲避在线沙箱的检测,等待期结束后,会释放除盗号模块外的所有文件到AppData目录下,然后根据远端服务器hxxp://www.mysvipxrtx.com/api/busins返回的指令信息,决定是否执行后续的盗号流程,若有返回信息,则执行后续操作,否则每间隔5分钟重复请求一次返回信息。
开始执行盗号流程后,病毒会释放QQProtece32.dll文件至AppData目录下,采用远程线程注入的方式,将上述模块注入到qq.exe进程中:
盗号木马注入的手法众多,除了使用CreateRemoteThread在目标进程加载执行,我们还发现另外一类针对QQ盗号的木马稍显特别,这类木马使用了CallWindowProc在QQ进程内执行ShellCode,再利用网易loft博客作为其命令下发的CC地址hxxps://sudu198714.lofter.com/post/31c74d82_1c8ac4c96,为了防止域名失效,其备用域名使用了百度对象存储服务hxxps://uadate.fwh.bcebos.com/mini.txt:
QQProtece32.dll在被注入QQ的进程后,会最终释放出盗取ClientKey的QClient32.dll文件到QQ的目录下,然后加载执行这个最终的盗号模块。该模块通过调用KernelUtil.dll 中的 ?GetSelfUin@Contact@Util@@YAKXZ获取登录的QQ号,然后再通过?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z计算得到对应的ClientKey,最终完成ClientKey的盗取。
盗取来的ClientKey主要用于刷直播关注量、QQ部落留言、空间关注等,目前主要刷的是网易CC直播的一位主播: 其它: 在对样本的相关木马下载地址进行关联溯源时,发现该域名的备案号下,还有其它几个域名:
部分域名更是早在2016年就曾进行过流量暗刷、主页劫持等行为:
其中一个域名,疑为作者的个人主页,页面上附带有不少作者的个人简介说明信息:
页面上不仅有大量的小工具类软件的下载链接,还留有软件作者的联系方式:
利用搜索引擎搜索作者的名字,也能搜到不少的新闻,可见作者从事相关的开发工作也已多年: 建议: 1、在游戏时,避免使用外{过}{滤}挂、修改器等第三方工具,必要时,可使用沙箱、虚拟机等软件运行这类工具 2、当杀毒软件报毒时,切勿轻易点击放行,若怀疑误报,可向杀软工作人员核实后再运行 3、若怀疑中毒,可使用金山毒霸进行扫描检查
IOCs MD5:
a177249fd572d8ba34a6faf4b7e714b6 bcb949631168dead2113582cf8a7049e 55edb115eb9ece17921eebcfcfb853bc fafb3f625ea456a12dee8de0ece869db 216ec0b28a38582c08cb3b1be1f7ba97 B8064AF23273DE431AE290C3C739479B d5ac0d990f148fd7326672bedc26aef2 ecb0766f160e95ba07884d30012ceb40
URL: hxxp://tyl123[.]cn/tmp/0003.exe hxxp://tyl123[.]cn/tmp/wpbyf.exe hxxp://www.lovehy[.]com hxxp://yunlongservice[.]cn hxxp://msnunion[.]com hxxp://mysvipxrtx[.]com
|