时间:2023-01-27 02:07:18
前言
网络游戏辅助、助手工具自古以来就受到部分游戏玩家的喜爱。 但是,这些软件大多存在扰乱游戏公平性、篡改游戏数据等问题,损害了游戏运营方和维护游戏秩序的玩家的利益,历来都是对游戏厂商和运营商的打击。 因此,这类工具由个人和小团队开发和维护。 可以说是良莠不齐。 其中也有很多追求非法利润的开发者——利用游戏发布病毒木马和恶意程序,趁机窃取游戏账号装备。 今天要讲的“CF活动助手”就是其中之一。
CF活动助理分析
CF事件助手是比较受欢迎的游戏辅助工具,支持的功能很多。 以下是其官方网站的介绍内容。 “最新活动提醒”、“一键领取活动礼品”、“战绩、消费、仓储查询”功能,以及“永久免费”,看起来确实是不错的助力。
图1 .官方网站助手功能介绍
据官网用户实时统计,每天的用户IP数达到70000,PV量达到12万,这也表明受到用户的喜爱。
图2. CF活动助手的用户数
图3. CF活动助手的程序界面
CF活动助手在启动时通过云下拉配置方式获取自身运行所需的配置信息,以便及时关注游戏运营商发出的事件,同时保证其“查询功能”界面的有效性。 其使用的云配置信息地址如图4所示。
图4 .程序中使用的云控制地址
图5 .程序官方网站的加密云控制信息
通过解密云配置,可以看到它还包括检测安全软件(不包括与程序相关的配置信息),以及下载和运行远程程序的功能。
图6 .安全软件进程名称配置字段
图7 .远程下载程序配置字段
其中,下载了文件名为“QMBroswer.exe”和“QMBrowser.exe”的文件,前期分别发放了“QQ空间广告刷手”病毒和“Steam盗刷器”。 中间的“server.exe”文件是下载者的木马。
1 .下载者木马
特洛伊木马启动后,它会主动向远程地址发出下载请求,下载多个程序并在本地运行。 在URL链接中,这些文件都以. txt结束,但实际上大部分都是可执行程序,其中也包括驱动程序[sys]和动态链接库程序[dll]等,具体的功能也是
图8 .下载捕获包
另外,该木马同时向服务器端报告中毒机器的相关信息并进行统计。
2 .防盗器
假脱机程序启动后,正在运行的“Steam”客户端将退出,并枚举磁盘文件以查找Steam客户端的安装路径
图结束Steam进程
图10 .释放被盗模块
找到Steam客户端的安装路径后,将在路径中释放名为IPHLPAPI.DLL的库文件,并将其用作DLL劫持。 这样,Steam客户端将在下次启动时加载dll文件。
图11 .盗窃模块注入Steam流程
加载此DLL后,SteamUI.dll模块的四个位置将以hook方式挂钩。 分别为" UserNameEdit ""密码"" RememberThisComputer "" steam_gettwofactorcode
图12 .被盗号码模块查找hook点
图13 .要阻止的控件的名称
这样,每次用户输入帐户密码登录Steam时,都会劫持客户端的DLL并窃取帐户和密码。
3. &; #039; QQ空间广告刷手&; #039; 病毒科
病毒运行时,通过QQ本地身份验证界面检索到SKey。 之后,带上SKey就可以跳到全线QQ产品了。 病毒会跳转到QQ空间和感兴趣的部落,选择非用户主动发布广告。
图14 .刷QQ空间
图15 .打磨“兴趣部落”的评论
实际公开内容如下图所示。
图16 .类似广告内容
爆炸性的Steam盗窃
在《绝地求生》在国内爆红后,面向Steam的盗窃产业链发展非常迅速。 不仅是这笔补助金,还发现了大量针对Steam的盗窃攻击。
号码怎么被偷?
现在流行的盗窃方式大致可以分为三种:
1 .骗取钓鱼页面、账号密码
冒充非常相似的“活动页面”,欺骗受害者输入账户密码,接收所谓的“礼包”或“CDKEY”。 输入这些信息后,信息会被发送到盗窃者的“箱子”中进行存储,然后包装转卖或抢劫。
图17 .伪造的Steam钓鱼页面
2 .曲线救国,利用账号回收功能窃取账号
账号找回功能是指如果用户忘记了原密码,平台可以通过预绑定的邮箱发送“证书”,用户即可重置密码。 通常,这样的功能的设计原则是基于该账户所使用的注册邮箱的所有者是可信的——,即,允许查看注册邮箱的内容的人是账户所有者本人。 但由于腾讯本地统一认证接口的存在,这些信任逻辑变得不可靠。
图18. Steam平台发送的密码重置证书
腾讯提供的这个界面是一种机制,旨在方便用户登录全线产品。 但是,由于调用方未经验证,因此在用户计算机上运行的所有程序都可以被调用以获得SKey (验证令牌)。 如果用户使用QQ邮箱绑定Steam帐户,攻击者将在Steam平台上主动开始“回收密码”,然后通过SKey在受害者邮箱中获取“证书”并重置密码
常见的是被命名为“XX变声器”、“XX加速器”的“编码器”,通过聊天工具和邮箱方式发布。
图19 .通过邮箱发出的Steam编码器
3 .对记录器下手,直接获取账户密码
上述“CF活动助手”是指以“DLL劫持”的方式注入Steam登录程序,通过hook上相应的控件处理逻辑,窃取受害者的登录账号和密码,这种方式非常隐蔽
1 ) DLL劫持,Steam安装目录下的名称IPHLPAPI.DLL
2 )流程注入、释放模块位于Steam安装目录名称cuic.DLL中
被盗账户怎么处理?
受害者的账户最终会流动,只有以下内容。
1 .账户内有高价值虚拟财产,被转移出售。
2 .账户安全保障信息可变更且价值较高的,修改信息后,转售作为高价值黑码出售(几元至几百元)。
3 .如果账号价值高,且盗号者自身对账号内的游戏感兴趣,盗号者留作自用。
4 .剩余价值较低的账户,打包出售。 最后流到“上号器”号商手里。
图20. Steam黑号出租(上码器) )。
图21. Steam黑号
图22. Steam黑号交易
如何避免号码被盗?
1 .尽量避免使用第三方辅助软件。
2 .无论是游戏帐户还是电子邮件地址帐户,都尽可能地启用多种安全机制(例如,手机动态密码app )。
3 .在网吧等不信任环境中,避免使用自己的游戏账号。
4. 360安全卫士具有“游戏账号保护”功能,开启时可以有效阻止游戏号码被黑客攻击。
图23. 360安全防护拦截威胁程序对Steam客户端的注入操作