Steam 新型盜號木馬及產業鏈分析報告
信息安全公益宣傳,信息安全知識啟蒙。
教程列表見微信公眾號底部菜單
《絕地求生:大逃殺》自Steam上線以來就一直佔據銷量榜榜首,可見該款遊戲的熱門程度。用戶紛紛加入「吃雞大軍」,而《絕地求生:大逃殺》需要用戶在Steam商城花費98元購買才能夠開始「吃雞」。黑產從業者也發現這裡面「商機」並盯上了用戶手裡的Steam賬號,他們試圖通過盜取Steam賬號數據並售賣,進而牟利。
「郵箱數據」貼吧
而我們也發現這些黑產從業者正試圖在貼吧、QQ群里售賣手裡的非法Steam數據,其中的「郵箱數據」貼吧里發布了大量的非法Steam數據交易內容。並且,我們360雲安全系統監測近期也有曝光過一些不法分子藉助變聲器、外掛、加速器等進行盜號木馬傳播,該木馬一旦運行,即可成功盜取得用戶的QQ號和動態Skey。
騰訊為了方便用戶,在登錄的QQ電腦中,可以使用「快速登錄」的方式,在使用此種登錄方式的過程中,會產生一個密鑰,是QQ登錄的另一種身份證,盜號者可以通過這個key來識別用戶的QQ,登錄郵箱,QQ空間、看相冊、日記,發布說說,微博,財付通,QB查詢……
使用QQkey登錄郵箱工具
通過偽裝steam外掛傳播的不法分子通過快速登錄QQ郵箱,將盜取與QQ郵箱有綁定關係的Steam賬號以及相關財產。
360-CERT對此漏洞進行了相關分析,認為漏洞影響嚴重;目前相關的報告已經公開,建議相關用戶儘快進行評估預案。
產業鏈分析
我們嘗試跟貼吧中一個「販子」進行溝通,試圖還原整個盜號產業鏈的情況。
溝通的過程「販子」向我們展示了盜取Steam賬號過程中需要的工具以及測試數據,從工具來看,我們發現他們用於竊取QQKey的收信方式主要有騰訊企業郵箱收信、ASP收信。
盜號木馬生成器、QQKEY登錄器
「販子」還告訴了我們這些工具、源碼在圈內的價位,整套盜號木馬生成器的易語言源碼一套售價1500,而對於一些不懂的加工易語言源碼的工作室主要是通過購買價位在800左右的QQKey盜號木馬生成器,就連用於登錄QQKey的登錄器也要400。
我們以需要測試盜號木馬是否能夠免殺360向「販子」要了一個測試木馬,「販子」稱它的木馬能夠過360,然而文件剛下載下來就被QVM查殺了。其實,該木馬本身技術門檻並不高。而整個盜號流程中至關重要的就是賬號數據量,而在後續溝通的過程中,我們也「販子」那了解到他們的手法主要為引流傳播,並再次向我們展示了他們行業「擼號寶典」。
最終我們還原出關於這類黑色產業鏈的情況如下圖:
竊取QQkey
我們根據近期捕獲的樣本中發現,此類盜號木馬的竊取QQkey的攻擊手法主要有兩種。
利用QQ快速登錄竊取QQKey
通過訪問http://localhost.ptlogin2.qq.com:4300/[url]獲取用戶登錄qq的key ,將Set-Cookie中的clientKey發送到牧馬人的伺服器(464690486.blkj.tk)中。
牧馬人的伺服器通過qqkey.php以Get的方式接收QQkey進程存儲,傳輸的數據主要有:qq號碼、QQ名稱、QQkey。
將qq號和qq登錄的key發送到指定伺服器
還將信息發送到指定郵箱
其中某木馬分發者的收信網站流量:
該圖來自360網路安全研究院
根據網站流量來看從2018年3月30日開始網站流量突然飆升,在上面我們也貼出了該站的訪問日誌。
另外一個木馬分發者的收信郵箱:
由此可見收穫不菲。
暴力搜索內存提取QQkey,上傳伺服器或者郵箱
讀取QQ.exe內存
發送QQKey到伺服器
登錄到一個盜號者的伺服器上,可以看到半小時左右就有2000多個QQ賬號和密碼被盜取。
伺服器上QQKey記錄
新型變種
關於這個新型變種,我們發現他獲取QQkey使用的方法並沒有改變(這種方法目前在國內目前只有360可以查殺)
依舊還是通過QQ快速登錄的介面獲取的QQkey,如下圖:
不過我們發現他上傳QQkey的方法發生了改變,由以前的通過郵箱收信、ASP收信變成了socket通信,如下圖木馬正在連接C&C伺服器:
我們通過技術手段獲得了該變種的木馬生成器,該生成器中包含:全自動進入QQ郵箱盜號、管理獲取的QQkey、自動生成木馬等等,可見功能非常齊全。
其中,我們得知該伺服器在4月11日至4月12日之間流量飆升,由此可見該變種應該是在4月11日的時候放出的,事後我們對此變種進行了攔截,該C&C伺服器的流量圖如下:
該圖來自360網路安全研究院
IOC
12e13e.exe 55AC18FB660F726EB801B8F03F9EBC37
wrqdfq.exe 37575D21B8CD16ABA4C3E1B3013B1E31
QQPass.exe 6CB90F793DB09FEF0077E599C6FF6F20
靜謐歲月
弘揚傳統文化,傳承中華美德,傳遞正能量。
TAG:計算機與網路安全 |