吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 63632|回复: 191
收起左侧

[转载] 新型赌博黑产攻击肆虐网吧: LOL博彩引流+棋牌盗号

    [复制链接]
bambooslip 发表于 2019-4-24 18:45
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 zzzain46 于 2019-4-25 11:54 编辑

背景描述
黑产利用QQ空间来进行群发广告进行导流的情况,想必大家都已见过,但对于单纯的发布引流广告带来的收益,他们似乎并不满足。

近期,毒霸“捕风”威胁感知系统监控到一款针对在线棋牌游戏进行盗号,并且同时能够在英雄联盟客户端内群发博彩广告,从而进行引流的木马。和之前的棋牌盗号类木马不同,以往的棋牌游戏盗号木马往往只是利用百度SEO优化或者竞价排名,让山寨客户端排名靠前,从而吸引用户下载,而这次的盗号者则一改常态,选择主动出击,对安装了正规棋牌游戏厂商,如:1378、集结号、辰龙游戏等的本地客户端进行篡改,拦截其安全消息的提示,从而最终盗取账号密码以及游戏金币。

而对于在英雄联盟客户端内发广告引流的木马,尚属首次发现,木马作者通过调用英雄联盟客户端本地消息发送的API,当一局游戏结束显示战绩时,就会发送博彩群的广告或者链接,为了避免消息被过滤拦截,还会采用同音字替换的方式绕过过滤拦截。

根据对相关传播样本的分析,我们认为该样本的源头来自于网吧环境,在分析期间,该病毒的插件的功能也是每天更新,单个变种感染量达3W+。

技术分析
该病毒的主要运行流程如下:

病毒运行后,首先会复制自身到system32下一个随机命名的文件夹里,然后重命名伪装自身为系统文件,会被伪装的文件名列表如下:

接着,继续从服务器http://api.6688cy.com/2.gif下载一个加密了的图片文件,该文件解密后为另一个网址链接http://api.6688cy.com/2019.gif,该链接同样指向了一个加密的图片文件,对该图片文件再次解密后,发现其为一个DLL 文件,该DLL文件的主要功能是去下载另外2个木马文件:英雄联盟广告木马和棋牌游戏盗号木马,以下分别进行具体分析:

木马一:英雄联盟广告木马
病毒作者提前将该木马上传到了公共图片服务器中(新浪、百度、网易),以防止安全分析人员溯源、追查到其真实身份,上传放置图片所用的服务器如下:
但其实对于使用了新浪图片外链的链接,是可以反查追溯到源头的,例如上面图片中所使用的新浪图片链接,反查到上传者的信息如下:

从第一条上传的日期来看,这个木马从2018年9月份就开始活跃了:

下载得到的文件,同样是伪装加密的图片文件,解密后,依旧是一个DLL文件,而这个DLL就是最终的木马文件。
病毒利用c:\sdlfkjsldjfsldkfjs.txt文件作为开关标记文件,若文件存在,则不执行后续的操作,该DLL文件中包含了两个额外的PE文件:CURL库文件和一个用于注入LeagueClient.exe进程的文件。

该DLL文件加载运行后,首先会创建3个线程:
①   线程一
数据上报至统计服务器:http://api.hjhmc.com/c.php?md5=/ ... /qYVq6hDUJgQHR/UQ==,该网站后台为宝塔面板:

②   线程二
针对英雄联盟客户端进行注入操作,将自身释放出的一个PE文件,注入进LeagueClient.exe,主要为获取auth-token值和app-port值,然后将获取得到的值存放在C:\ a.dat中,为后续构建发送消息的链接所用:
③   线程三
根据获得的auth-token值和app-port值,构建相应的消息发送链接,然后发送相应的广告信息,完成博彩广告的发送:

不过由于相关服务链接的失效(http://43.224.29.58/msg/2.txt),暂未能获取相应的广告信息配置数据,但根据该木马内置的一个关键词替换字典信息以及网上的相关反馈来看,猜测为同一类型的木马,发送的是博彩类型广告:
除了在英雄联盟客户端内发送博彩广告外,病毒还会利用QQ的快速登录,盗取ClientKey值,然后在空间的说说中,加入定时说说,定时发送广告:

木马二:棋牌游戏盗号木马
该棋牌游戏盗号木马插件主要针对以下4款游戏:

木马通过检测以上4款游戏窗口找到游戏主进程,然后通过远程线程注入盗号DLL模块,挂钩指定函数,在用户进出游戏房间、存取游戏币、修改帐号密码等操作时拿到账户信息并上传。
以“1378游戏中心”盗号木马为例,当检测窗口标题为“1378GameCenter”时,就会释放DLL到C:\Windows\Temp\%d.dll,并注入游戏进程。

盗号DLL模块在游戏进程加载后,会挂钩游戏相关的功能函数,拦截游戏内部消息。在用户进行登录、进入房间、存取钱、绑定解绑、修改密码等操作时,获取用户账户密码、银行密码、游戏币等数据,并加密上传至服务器。

挂钩代码,针对多个DLL中的函数进行挂钩代码如下:

一共有5个挂钩函数:
挂钩函数1:拦截正常的游戏消息并分别处理:
该钩子函数针对用户登录游戏、打开银行、存取游戏币、进入游戏房间、绑定解绑等操作都进行了行为记录,并和用户账户信息、密码、游戏币等上报到远程服务器。

上报数据明文格式如下:
Pr_ID=%d,Pr_Mark=%d,Pr_Money=%d,Pr_Name=%s,Pr_Msg=登录游戏,Pr_Ver=03-11,
Pr_ID=%d,Pr_Accunot=%s,Pr_Accunot_Key=%s,Pr_Code=%s,
Pr_ID=%d,Pr_Common=%s,Pr_MAC=%s,Pr_ChoiceLongin=%d,
Pr_ID=%d,Online=12345,

其中针对登录游戏、进入房间、修改密码这3类操作会获取并上报用户的机器码Pr_MAC用于远程解绑洗号。

当账号异地登录时会替换本地的提示消息,防止用户发现账号被盗:

挂钩函数2:上报用户进入的房间名:Pr_ID=%d,Pr_Room=房间名,

挂钩函数3:用户退出房间时上报:Pr_ID=%d,Pr_Msg=退出房间,

挂钩函数4:用户退出房间\退出游戏\切换账号时上报

挂钩函数5:偷分(盗取游戏币)
疑似调用游戏内部函数完成游戏币盗取,暂时无法触发调用。

上报格式:
Pr_ID=%d,Pr_Money=%d,Pr_Toal=%d,Pr_Bank_Money=%d,Pr_Steal_Bank=%d,Pr_Msg=偷分中

上报函数会上传收集到的用户游戏账户信息,并每30秒发送一个心跳包,上报数据经过rc4加密和base64编码后发送至链接129.211.126.131/index.jsp?Act=Update&Data=%s

以下是病毒作者服务器上收集到的账号信息:

另外,www.hjhmc.com为病毒的上报统计服务器,可以看到每日的感染量统计,以下是其中一个渠道的感染上报数据:


附录IOC
MD5:
32abecf1d0e8e12f196dcf4e49d1bd92
f658d68f85a192e9839d5ddc7c526aec
06b26b1db9eb41a6b2d13b1a83acc9b2
f447d59a958733a5de72fe20beebb4a2
c0511a18f46de23819edfbeccff0513b
6d98c1dfa61f304a9222c795329a44c8
6e9eb752f1fdf2814d82fff29bf25850
5e3a3c1dbe6a4b39a6cd146380b452dc
31558c5ff2dbd2d57159a804c770821b
fa2fd16e6db11c3ae0e92a9f85c7fcb2

URL:
https://weibo.com/u/6727188567
http://1.huiccc.com/getsb.php?id=123178
http://1.huiccc.com/
http://www.hjhmc.com/
http://www.hjhmc.com/getsb.php?id=123178
http://1.huiccc.com/down/0416.jpg
http://api.hjhmc.com
http://api.tao606.com
http://api.6688cy.com
http://api.qq8819.com
http://43.224.29.58/msg/1.txt
http://43.224.29.58/msg/2.txt

免费评分

参与人数 129吾爱币 +120 热心值 +120 收起 理由
qiaoyaoyao + 1 + 1 用心讨论,共获提升!
liuwt14 + 1 + 1 谢谢@Thanks!
honker_f117 + 1 + 1 用心讨论,共获提升!
ttx1129 + 1 + 1 用心讨论,共获提升!
齐总iu + 1 + 1 用心讨论,共获提升!
岁月的牵绊 + 1 我很赞同!
VIP1033010350 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
领导夹菜我转桌 + 1 + 1 我很赞同!
shangwang + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
内瑟斯 + 1 + 1 我很赞同!
ShaChudows + 1 + 1 我很赞同!
ntzay + 1 谢谢@Thanks!
吾爱小洪 + 1 + 1 我很赞同!
selin + 1 我很赞同!
sysqjszg + 1 + 1 热心回复!
风吹落叶飘 + 1 + 1 谢谢@Thanks!
灬丶1丶灬 + 1 + 1 我很赞同!
tjh13423573428 + 1 + 1
azier + 1 + 1 谢谢@Thanks!
一朵菊花在 + 1 + 1 热心回复!
中午吃啥 + 1 + 1 谢谢@Thanks!
lyc19971014 + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
Pj15119158128 + 1 + 1 用心讨论,共获提升!
hxy92499 + 1 谢谢@Thanks!
帅到没朋友 + 1 + 1 热心回复!
hangruan + 1 + 1 我很赞同!
sunnylds7 + 1 + 1 热心回复!
Johnny.Y + 1 + 1 谢谢@Thanks!
pjk1314 + 1 + 1 我很赞同!
残-梦 + 1 + 1 这不是大神,而是真神!!!
77209341 + 1 + 1 用心讨论,共获提升!
ijnuhb123 + 1 + 1 用心讨论,共获提升!
情系吾爱 + 1 + 1 用心讨论,共获提升!
暮色忘我 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
忆千愁 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
雪之下阳乃 + 1 + 1 我很赞同!
野业 + 1 家里刚断网,想去来几把。。就看到了这个帖子
石琢 + 1 + 1 我很赞同!
Leo_ + 1 + 1 谢谢@Thanks!
ya0shu0 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yanguichao + 1 + 1 热心回复!
Jahre + 1 + 1 用心讨论,共获提升!
zk_lswqnxd + 1 + 1 谢谢@Thanks!
lnastacies + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
tro7an + 1 + 1 谢谢@Thanks!
380643640 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
闭眼深呼吸 + 1 + 1 用心讨论,共获提升!
红颜脸庞仍娇俏 + 1 + 1 易语言屌炸天
q429264446 + 1 + 1 我很赞同!
292219828 + 1 + 1 我很赞同!
Nikoo是橘猫 + 1 + 1 谢谢@Thanks!
wuxukun + 1 + 1 热心回复!
reloa + 1 我很赞同!
quantum56 + 1 谢谢@Thanks!
阿狸爱果果 + 1 + 1 用心讨论,共获提升!
smarnius + 1 + 1 我很赞同!
fengbolee + 1 + 1 谢谢@Thanks!
南湾不秋 + 1 + 1 原来是这样 我一直以为lol出来打广告的人都是脚本
大宝宝 + 1
soyiC + 1 + 1 热心回复!
这是昵称的昵称 + 1 我很赞同!
YUN6663 + 1 + 1 我很赞同!
mix888mix + 1 谢谢@Thanks!
200850970 + 1 + 1 谢谢@Thanks!
Num + 1 + 1 用心讨论,共获提升!
若沐曦 + 1 我很赞同!
marck1983 + 1 + 1 我很赞同!
snorlax + 1 + 1 谢谢@Thanks!
三生无味 + 1 + 1 我很赞同!
abc265 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
威风的黑龙 + 1 + 1 我很赞同!
MrSiye + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
huahuaya + 1 + 1 热心回复!
加载失败 + 1 + 1 热心回复!
冰吻啊 + 1 + 1 用心讨论,共获提升!
蓝的猫 + 1 + 1 大佬强的呀
zys_ + 1 + 1 我很赞同!
jiabin0357 + 1 + 1 用心讨论,共获提升!
sjx520 + 1 + 1 我很赞同!
孤狼微博 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Jzb- + 1 + 1 谢谢@Thanks!
tgyh7586 + 1 + 1 谢谢@Thanks!
nyldxh + 1 + 1 不明觉厉~
pk499477828 + 1 + 1 谢谢@Thanks!
浪子彦 + 1 + 1 用心讨论,共获提升!
下雨好种菜 + 1 + 1 谢谢@Thanks!
CrazyNut + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
爱吃西柚的狼 + 1 + 1 热心回复!
chixinfeng + 1 + 1 热心回复!
墨辰 + 1 + 1 用心讨论,共获提升!
赴京穷书生 + 1 + 1 用心讨论,共获提升!
liguofu034 + 1 + 1 我很赞同!
Mino + 1 我很赞同!
ZHV + 1 用心讨论,共获提升!
SakuraYaaa + 1 用心讨论,共获提升!
se00000se + 1 谢谢@Thanks!
Ouyang520 + 1 + 1 谢谢@Thanks!
someGenki + 1 + 1 我很赞同!
大风车 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

掩饰 发表于 2019-4-26 16:30
哎,大家注意了不要做一名赌狗,一周赚3w,3天输6w,钱只是最基本的赌资,输掉的最主要的是对生活的激情、亲情、友情,别以为自己可以控制得住,别怀着侥幸的心理,别到无法回头才选择思考

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
勤学好问 + 1 + 1 受过伤的人才能说出这么透彻的话,身为80后的我,真是不堪回首

查看全部评分

michaelgx2 发表于 2019-4-24 23:44
我还说打一局游戏三四十分钟就为了给9个人发那种广告成本是不是太高了,合着人家是无辜的,客户端中毒了而已
LeiSir 发表于 2019-4-24 19:01
zsy88 发表于 2019-4-24 19:04
看明不白是什么意思
头像被屏蔽
w5645060 发表于 2019-4-24 19:07
提示: 作者被禁止或删除 内容自动屏蔽
zsy88 发表于 2019-4-24 19:07
做引流的????
黄金战士 发表于 2019-4-24 19:10
感谢分享
LibertyCola 发表于 2019-4-24 19:14
原来碰见的那些发菠菜的都是被迫的,不是自己发的
bolipapadu 发表于 2019-4-24 19:20
网吧里玩游戏真是危机四伏
guide 发表于 2019-4-24 19:23
学习了学习了
dfl975 发表于 2019-4-24 19:27
怎么感染的网吧终端主机呢?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 06:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表