黑产利用***空间来进行群发广告进行导流的情形,想必大家都已见过,但对付纯挚的发布引流广告带来的收益,他们彷佛并不知足。
近期,毒霸“捕风”威胁感知系统监控到一款针对***游戏进行盗号,并且同时能够在英雄同盟客户端内群发博彩广告,从而进行引流的木马。和之前的棋牌盗号类木马不同,以往的棋牌游戏盗号木马每每只是利用百度SEO优化或者竞价排名,让山寨客户端排名靠前,从而吸引用户***,而这次的盗号者则一改常态,选择主动出击,对安装了正规棋牌游戏厂商,如:1378、集结号、辰龙游戏等确当地客户端进行修改,拦截其安全的提示,从而终极盗取账号密码以及游戏金币。
而对付在英雄同盟客户端内发广告引流的木马,尚属首次创造,木马作者通过调用英雄同盟客户端本地发送的API,当一局游戏结束显示战绩时,就会发送***的广告或者链接,为了避免被过滤拦截,还会采取同音字更换的办法绕过过滤拦截。
根据对干系传播样本的剖析,我们认为该样本的源头来自于网吧环境,在剖析期间,该病毒的插件的功能也是每天更新,单个变种传染量达3W+。
技能剖析
该病毒的紧张运行流程如下:
病毒运行后,首先会复制自身到system32下一个随机命名的文件夹里,然后重命名伪装自身为系统文件,会被伪装的文件名列表如下:
接着,连续从做事器http://api.6688cy.com/2.gif***一个加密了的图片文件,该文件解密后为另一个网址链接http://api.6688cy.com/2019.gif,该链接同样指向了一个加密的图片文件,对该图片文件再次解密后,创造其为一个DLL 文件,该DLL文件的紧张功能是去***其余2个木马文件:英雄同盟广告木马和棋牌游戏盗号木马,以下分别进行详细剖析:
木马一:英雄同盟广告木马
病毒作者提前将该木立时传到了公共图片做事器中(新浪、百度、网易),以防止安全剖析职员溯源、追查到其真实身份,上传放置图片所用的做事器如下:
但实在对付利用了新浪图片外链的链接,是可以反查追溯到源头的,例如上面图片中所利用的新浪图片链接,反查到上传者的信息如下:
从第一条上传的日期来看,这个木马从2018年9月份就开始生动了:
***得到的文件,同样是伪装加密的图片文件,解密后,依旧是一个DLL文件,而这个DLL便是终极的木马文件。病毒利用c:\sdlfkjsldjfsldkfjs.***文件作为开关标记文件,若文件存在,则不实行后续的操作,该DLL文件中包含了两个额外的PE文件:CURL库文件和一个用于注入LeagueClient.exe进程的文件。该DLL文件加载运行后,首先会创建3个线程:
① 线程一
数据上报至统计做事器:http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==,该网站后台为宝塔面板:
② 线程二
针对英雄同盟客户端进行注入操作,将自身开释出的一个PE文件,注入进LeagueClient.exe,紧张为获取auth-token值和app-port值,然后将获取得到的值存放在C:\ a.dat中,为后续构建发送的链接所用:
③ 线程三
根据得到的auth-token值和app-port值,构建相应的发送链接,然后发送相应的广告信息,完成博彩广告的发送:
不过由于干系做事链接的失落效(http://43.224.29.58/msg/2.***),暂未能获取相应的广告信息配置数据,但根据该木马内置的一个关键词更换字典信息以及网上的干系反馈来看,预测为同一类型的木马,发送的是博彩类型广告:
除了在英雄同盟客户端内发送博彩广告外,病毒还会利用***的快速登录,盗取ClientKey值,然后在空间的说说中,加入定时说说,定时发送广告:
木马二:棋牌游戏盗号木马
该棋牌游戏盗号木马插件紧张针对以下4款游戏:
木马通过检测以上4款游戏窗口找到游戏主进程,然后通过远程线程注入盗号DLL模块,挂钩指定函数,在用户进出游戏房间、存取游戏币、修正帐号密码等操作时拿到账户信息并上传。
以“1378游戏中央”盗号木马为例,当检测窗口标题为“1378GameCenter”时,就会开释DLL到C:\Windows\Temp\%d.dll,并注入游戏进程。
盗号DLL模块在游戏进程加载后,会挂钩游戏干系的功能函数,拦截游戏内部。在用户进行登录、进入房间、存取钱、绑定解绑、修正密码等操作时,获取用户账户密码、银行密码、游戏币等数据,并加密上传至做事器。
挂钩代码,针对多个DLL中的函数进行挂钩代码如下:
一共有5个挂钩函数:
挂钩函数1:拦截正常的游戏并分别处理:
该钩子函数针对用户登录游戏、打开银行、存取游戏币、进入游戏房间、绑定解绑等操作都进行了行为记录,并和用户账户信息、密码、游戏币等上报到远程做事器。
上报数据明文格式如下:
Pr_ID=%d,Pr_Mark=%d,Pr_Money=%d,Pr_Name=%s,Pr_Msg=登录游戏,Pr_Ver=03-11,Pr_ID=%d,Pr_Accunot=%s,Pr_Accunot_Key=%s,Pr_Code=%s,Pr_ID=%d,Pr_Common=%s,Pr_MAC=%s,Pr_ChoiceLongin=%d,Pr_ID=%d,Online=12345,
个中针对登录游戏、进入房间、修正密码这3类操作会获取并上报用户的机器码Pr_MAC用于远程解绑洗号,当账号异地登录时会更换本地的提示,防止用户创造账号被盗:
挂钩函数2:上报用户进入的房间名:Pr_ID=%d,Pr_Room=房间名,
挂钩函数3:用户退出房间时上报:Pr_ID=%d,Pr_Msg=退出房间,
挂钩函数4:用户退出房间\退出游戏\切换账号时上报
挂钩函数5:偷分(盗取游戏币)
疑似调用游戏内部函数完成游戏币盗取,暂时无法触发调用。
上报格式:
Pr_ID=%d,Pr_Money=%d,Pr_Toal=%d,Pr_Bank_Money=%d,Pr_Steal_Bank=%d,Pr_Msg=偷分中
上报函数会上传网络到的用户游戏账户信息,并每30秒发送一个心跳包,上报数据经由rc4加密和base64编码后发送至链接129.211.126.131/index.jsp?Act=Update&Data=%s
以下是病毒作者做事器上网络到的账号信息:
其余,www.hjhmc.com为病毒的上报统计做事器,可以看到逐日的传染量统计,以下是个中一个渠道的传染上报数据:
附录IOC
MD5:
32abecf1d0e8e12f196dcf4e49d1bd92f658d68f85a192e9839d5ddc7c526aec06b26b1db9eb41a6b2d13b1a83acc9b2f447d59a958733a5de72fe20beebb4a2c0511a18f46de23819edfbeccff0513b6d98c1dfa61f304a9222c795329a44c86e9eb752f1fdf2814d82fff29bf258505e3a3c1dbe6a4b39a6cd146380b452dc31558c5ff2dbd2d57159a804c770821bfa2fd16e6db11c3ae0e92a9f85c7fcb2
URL:
https://weibo.com/u/6727188567http://1.huiccc.com/getsb.php?id=123178http://1.huiccc.com/?cmd=get_info&id=1%20or%201=1http://www.hjhmc.com/?cmd=get_info&id=1%20or%201=1http://www.hjhmc.com/getsb.php?id=123178http://1.huiccc.com/down/0416.jpghttp://api.hjhmc.comhttp://api.tao606.comhttp://api.6688cy.comhttp://api.***8819.comhttp://43.224.29.58/msg/1.***http://43.224.29.58/msg/2.***
本文作者:安全豹,转载自FreeBuf.COM
