搜索
查看: 3757|回复: 11
收起左侧

[技术原创] 传奇私-Fu正携带病毒劫持网络流量 火绒安全已拦截

[复制链接]
火绒工程师
发表于 2021-11-9 11:13:23 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2021-11-9 11:28 编辑

近日,火绒工程师发现一款传奇私-Fu登录器正在向用户电脑中植入恶意模块,劫持用户流量。当用户在游戏私-Fu站点中下载传奇私-Fu登录器并启动游戏时,该私-Fu登录器携带的恶意模块随即被激活,并执行劫持网络流量、上传终端信息等恶意行为。此外,根据火绒工程师对现有代码内容进行分析,该恶意模块还在持续更新,后续可能发展为内核级后门,对用户构成巨大安全威胁。
本次携带病毒模块的传奇私-Fu登录器站点页面

火绒已对传奇私-Fu登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,可以下载火绒专杀工具清除病毒,并重启电脑后使用火绒【全盘扫描】功能彻底查杀该病毒。(专杀下载地址: https://bbs.huorong.cn/thread-18575-1-1.html

火绒查杀图

经火绒工程师分析溯源发现,传奇私-Fu登录器携带的恶意模块和火绒捕获的其历史版本恶意模块,均添加了微软WHQL认证签名(如下图),会容易让用户误认为其是微软官方推出的一款程序。该行为具有较强的迷惑性,广大用户需要警惕。

传奇私-Fu登录器恶意模块数字签名信息


火绒9月捕获恶意模块数字签名信息
事实上,我们在搜索引擎中搜索“私-Fu”等关键词时,可以发现包括传奇私-Fu在内的众多游戏私-Fu开服表链接,如下图:

百度搜索结果
长久以来,这类游戏私-Fu为了攫取利益,打着“让用户获取更好的游戏体验”的名义,利用搜索引擎竞价排名功能付费宣传和推广,诱导用户下载使用;同时,它们往往也携带病毒(此前火绒也曾报告过倚天OL、九州私-Fu登录器中带有后门病毒),严重侵害用户隐私和资产安全。 火绒工程师提醒广大用户,切勿使用上述类似软件;谨慎下载不明网站软件,如需使用,请下载后使用火绒及时查杀。
补充阅读:
《私-Fu游戏携带后门病毒远控电脑,请用户谨慎下载》
https://www.huorong.cn/info/1601463871520.html


以下为详细分析与样本hash

一、详细分析
通常,对此类游戏存在需求的用户会在搜索引擎中搜索诸如“私-Fu”之类的关键字,在搜索结果中会出现大量游戏私-Fu开服表链接。游戏私-Fu开服表再将用户引流到具体的游戏私-Fu站点,下载私-Fu登录器。

游戏私-Fu开服表页面
当用户从前文所述游戏私-Fu站点下载、启动传奇私-Fu登录器时,私-Fu登录器会在后台释放并加载下载者驱动,该驱动会连接外网并下载一个经过伪装加密的“.jpg”文件,在进行解密后最终得到恶意驱动。整体的病毒执行流程如下图所示:

病毒执行流程

涉及主要恶意文件信息如下图所示:

GK-Client文件信息
下载者驱动文件信息
恶意驱动文件信息

1、GK-Client.Dll解密运行下载者驱动
游戏私-Fu登录器运行后,会加载GK-Client.dll并调用其导出函数CInit执行恶意逻辑。CInit中执行的主要恶意逻辑代码如下图所示:
主要恶意逻辑

首先会查找是否存在资源名为“BIN”的资源文件,如果存在则继续执行解密逻辑,代码如下图所示:

查找待解密资源

具体解密代码逻辑如下图所示:

解密逻辑

解密完成后启动下载者驱动服务,代码逻辑如下图所示:

启动下载者驱动

2、下载者驱动下载解密恶意驱动
下载者驱动首先会将经过倒转的BASE64编码还原恢复正常顺序,保存的字符串如下图所示:

恢复被倒转的BASE64编码

将BASE64编码进行解码后,得到的网址如下图所示:

下载恶意驱动网址

在成功解密得到下载网址后下载者驱动会向服务器发起请求,访问下载网址中的文件,下载逻辑如下图所示:

请求下载恶意驱动

同GK-Client.dll的解密文件的逻辑一致,在下载的文件0x2800偏移处保存需要解密的文件大小,0x2804偏移处保存异或的值,0x2808偏移处保存需要开始解密的文件首地址;解密完成后,下载者驱动将解密后的数据写入至“drivers”目录下。具体逻辑如下图所示:

将恶意驱动解密并写入本地

最后下载者驱动会为恶意驱动创建注册表服务,并加载运行恶意驱动,如下图所示:

加载恶意驱动
3、恶意驱动
恶意驱动启动后会创建多个线程同时执行多个恶意操作,如下图所示:

创建多个线程
1、恶意规则下发
其中从外网下载规则文件的主要逻辑代码如下图所示:

解密BASE64编码

将BASE64编码进行解码后,得到的网址如下图所示(目前规则文件已经无法下载):

规则文件网址

规则文件下载完成后,恶意驱动会对下载的文件内容按照不同的字段信息进行匹配,设置相应的规则,匹配的字段代码如下图所示:

匹配规则文件字段

规则文件中的部分字段含义如下图所示:

规则文件字段含义

2、内核对抗
其中签名信息黑名单规则用于对系统中启动的程序做比较判断,如果启动的进程相应文件存在签名,且签名信息命中黑名单规则,恶意驱动便将目标进程结束。如果黑名单规则中的签名信息均未命中,则会继续对目标进程名称做判断,当进程名是“SuperKiller”或者“SuperKillller”时,目标进程同样会被结束。相关代码如下图所示:

结束命中黑名单规则的进程

同时恶意驱动文件本身也保存一批签名信息黑名单,命中这批黑名单的程序同样会被恶意驱动禁止加载启动,黑名单信息如下图所示:

黑名单信息

3、流量劫持
劫持网站相关的字段jack中保存有以下三种二级字段信息,相关含义如下图所示:

劫持规则字段含义

恶意驱动通过Hook驱动Afd的MajorFunction[IRP_MJ_DEVICE_CONTROL]和FastIoDispatch达到劫持网络的目的,Hook代码逻辑如下图所示:

Hook逻辑

在被Hook后的函数中,恶意驱动会对网络请求相关的IoControlCode进行过滤,具体劫持逻辑如下图所示:

劫持逻辑

4.上传用户终端信息
同时恶意驱动会获取主机的cpu核数,硬盘sn序列号,C盘windows文件夹创建日期,通过一系列计算将得到的结果拼接最终上报至远程服务器上,拼接代码如下图所示:

上报主机信息

用于上报主机信息的服务器地址,如下图所示:

服务器网址
二、附录
样本hash

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
利刀1937
发表于 2021-11-9 11:18:35 | 显示全部楼层
火绒歪歪帝艾斯
dsb2466
发表于 2021-11-9 11:29:10 | 显示全部楼层
国内私-Fu这么做是必须的,同行之间的竞争太激烈了
2手玫瑰.Rec
发表于 2021-11-9 11:37:00 | 显示全部楼层
所以我老早就放弃了传奇SF,太乱了。现在老游戏只玩diablo2战网。
00006666
发表于 2021-11-9 11:37:02 | 显示全部楼层
本帖最后由 00006666 于 2021-11-9 12:32 编辑

SuperKiller是360急救箱主程序,不过360急救箱有无签名工具,应该还是能运行的。

总感觉很熟悉,刚刚反应过来那个WHQL签名的驱动其实是360发现的,wowocock上个月说过了。

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2219392&pid=49643362&fromuid=1245210

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2219392&pid=49645058&fromuid=1245210

https://www.virustotal.com/gui/file/c2b051d4be9deed56d51a3579868f76022d91d14511fc84eb51749fc225d8121?nocache=1





至尊神行太保
发表于 2021-11-9 13:08:32 | 显示全部楼层
2021年还有6.0版本吗?还是要到明年2022年 6-7月份才推出6.0呢
wowocock
发表于 2021-11-9 18:37:38 | 显示全部楼层
00006666 发表于 2021-11-9 11:37
SuperKiller是360急救箱主程序,不过360急救箱有无签名工具,应该还是能运行的。

总感觉很熟悉,刚刚反 ...

私 服之间互殴,结果急救箱成了众矢之的。这些作者会建议用户用急救箱杀掉竞争对手的驱动后,再玩自己的私-Fu。导致现在私 服 都会干急救箱,包括应用层和驱动层。
00006666
发表于 2021-11-9 21:10:22 | 显示全部楼层
wowocock 发表于 2021-11-9 18:37
私 服之间互殴,结果急救箱成了众矢之的。这些作者会建议用户用急救箱杀掉竞争对手的驱动后,再玩自己的 ...

从另一个方面来看,这也说明了急救箱的技术足够可靠。
你开心就好
发表于 2021-11-10 14:49:53 来自手机 | 显示全部楼层
wowocock 发表于 2021-11-9 18:37
私 服之间互殴,结果急救箱成了众矢之的。这些作者会建议用户用急救箱杀掉竞争对手的驱动后,再玩自己的 ...

啊哈哈哈 他们玩刀刃 就留给你一个刀把子在风中凌乱
大明湖畔的乾隆
发表于 2021-11-10 18:37:46 | 显示全部楼层
难怪管家给我杀掉几个私-Fu
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-21 19:15 , Processed in 0.152670 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表