查看: 1012|回复: 2
收起左侧

[技术原创] 查看加密的QQ空间相册难么?

[复制链接]
金山毒霸V11
发表于 2020-7-10 15:44:35 | 显示全部楼层 |阅读模式
概述:
很多人喜欢将QQ空间的空间相册功能当做照片网盘,把一些自己或是珍贵、或是敏感的照片保存在QQ空间的相册中,并设置访问权限阻止其它人访问,从而达到拥有一个私人相册的目的。但如果有人想破解这个访问权限,是否困难呢?

要回答这个问题,就需要知道QQ快捷登录的原理,简单讲就是如果黑客获取了你QQ的一个叫ClientKey的东西,那么他就能直接进入你的QQ空间查看加密相册,而ClientKey的获取,对于黑客而言并不复杂。

以我们发现的一个盗取ClientKey的木马为例,近期毒霸工作人员接到用户反馈,电脑反复出现盗号木马的提示,跟进后发现都是由同一类游戏修改器反复释放而来,该木马盗取QQ的ClientKey之后,利用QQ的第三方登录功能,登录第三方网站进行暗刷、论坛刷帖等功能。

通过对后台上报信息进行梳理后,我们发现该木马来自一些古老的游戏修改器、绿色软件等小工具类产品,从代码风格和域名来看,均为同一人使用VB所编写。由于VB语言的编译特性,程序具有较好的免杀效果,截止目前,VT上只有一款杀软能够检出该木马:
分析:
病毒从被作者发布到执行,大体流程如下:
由于部分玩家想使游戏增加额外的“乐趣”,喜欢去网上搜索游戏修改器,而病毒作者也瞄准了这类需求,针对性的将游戏修改器和病毒打包在了一起,并上传至各大下载站,目前发现的主流下载站主要有以下三个:

这类下载站由于SEO优化较好,在搜索引擎结果中排名靠前,因此也会获得较多的展示下载机会,尽管杀软会对下载的文件报毒,但用户在此类刚需的情况下,更喜欢主动忽视、甚至是关闭掉杀毒软件,病毒也因此获得最终的执行机会。

当用户下载到被二次打包的软件,双击打开后,该安装包会释放出一个下载器模块setup.exe到temp目录:

该文件会二次下载一个包含有WPS升级程序的白文件,由于该升级程序是通过命令行传入参数来获取下载地址,但却没有对下载链接做任何限制,而该升级程序本身是正常文件,部分杀软也会直接放行,故被病毒利用来下载执行指定文件。在访问远程地址获得后续需要的配置文件后,发现目前主要下发一些推广软件和盗号木马,配置文件被加密保存在作者的服务器上:

配置解密代码如下:

中盗号木马下载地址为hxxp://tyl123.cn/tmp/0003.exe,该文件中内嵌多个PE文件模块:

0003.exe运行后,会等待5分钟再执行后续操作,猜测是为了躲避在线沙箱的检测,等待期结束后,会释放除盗号模块外的所有文件到AppData目录下,然后根据远端服务器hxxp://www.mysvipxrtx.com/api/busins返回的指令信息,决定是否执行后续的盗号流程,若有返回信息,则执行后续操作,否则每间隔5分钟重复请求一次返回信息。

开始执行盗号流程后,病毒会释放QQProtece32.dll文件至AppData目录下,采用远程线程注入的方式,将上述模块注入到qq.exe进程中:

盗号木马注入的手法众多,除了使用CreateRemoteThread在目标进程加载执行,我们还发现另外一类针对QQ盗号的木马稍显特别,这类木马使用了CallWindowProc在QQ进程内执行ShellCode,再利用网易loft博客作为其命令下发的CC地址hxxps://sudu198714.lofter.com/post/31c74d82_1c8ac4c96,为了防止域名失效,其备用域名使用了百度对象存储服务hxxps://uadate.fwh.bcebos.com/mini.txt:

QQProtece32.dll在被注入QQ的进程后,会最终释放出盗取ClientKey的QClient32.dll文件到QQ的目录下,然后加载执行这个最终的盗号模块。该模块通过调用KernelUtil.dll 中的 ?GetSelfUin@Contact@Util@@YAKXZ获取登录的QQ号,然后再通过?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z计算得到对应的ClientKey,最终完成ClientKey的盗取。

盗取来的ClientKey主要用于刷直播关注量、QQ部落留言、空间关注等,目前主要刷的是网易CC直播的一位主播:
其它:
在对样本的相关木马下载地址进行关联溯源时,发现该域名的备案号下,还有其它几个域名:

部分域名更是早在2016年就曾进行过流量暗刷、主页劫持等行为:

其中一个域名,疑为作者的个人主页,页面上附带有不少作者的个人简介说明信息:

页面上不仅有大量的小工具类软件的下载链接,还留有软件作者的联系方式:


利用搜索引擎搜索作者的名字,也能搜到不少的新闻,可见作者从事相关的开发工作也已多年:
建议:
1、在游戏时,避免使用外{过}{滤}挂、修改器等第三方工具,必要时,可使用沙箱、虚拟机等软件运行这类工具
2、当杀毒软件报毒时,切勿轻易点击放行,若怀疑误报,可向杀软工作人员核实后再运行
3、若怀疑中毒,可使用金山毒霸进行扫描检查

IOCs
MD5:
a177249fd572d8ba34a6faf4b7e714b6
bcb949631168dead2113582cf8a7049e
55edb115eb9ece17921eebcfcfb853bc
fafb3f625ea456a12dee8de0ece869db
216ec0b28a38582c08cb3b1be1f7ba97
B8064AF23273DE431AE290C3C739479B
d5ac0d990f148fd7326672bedc26aef2
ecb0766f160e95ba07884d30012ceb40

URL:
hxxp://tyl123[.]cn/tmp/0003.exe
hxxp://tyl123[.]cn/tmp/wpbyf.exe
hxxp://www.lovehy[.]com
hxxp://yunlongservice[.]cn
hxxp://msnunion[.]com
hxxp://mysvipxrtx[.]com


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
WAR314159
发表于 2020-7-10 18:24:21 | 显示全部楼层
本帖最后由 WAR314159 于 2020-7-10 18:55 编辑

mysvipxrtx.XXXXXcom 已拒绝连接。
htXXXXXXp://tyl123.cn/tmp/0003.exe被eset拉黑
百度一下,13年前老黄历,衡阳新闻网报道
作者名字:谢云龙
百度快照出卖衡阳新闻网



hXXp://www.lovehy.com/已经失效
@金山毒霸V11

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
mytest111
发表于 2020-7-10 19:54:35 | 显示全部楼层
实战就阳痿
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 01:52 , Processed in 0.123993 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表