吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13817|回复: 139
收起左侧

[PC样本分析] 传奇私服正携带病毒劫持网络流量 火绒已拦截

    [复制链接]
火绒安全实验室 发表于 2021-11-8 19:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
填写信息,获得电子版报告:https://wj.qq.com/s2/9280474/f44c

近日,火绒工程师发现一款传奇私服登录器正在向用户电脑中植入恶意模块,劫持用户流量。当用户在游戏私服站点中下载传奇私服登录器并启动游戏时,该私服登录器携带的恶意模块随即被激活,并执行劫持网络流量、上传终端信息等恶意行为。此外,根据火绒工程师对现有代码内容进行分析,该恶意模块还在持续更新,后续可能发展为内核级后门,对用户构成巨大安全威胁。

Image-0.png
本次携带病毒模块的传奇私服登录器站点页面

火绒已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,可以下载火绒专杀工具清除病毒,并重启电脑后使用火绒【全盘扫描】功能彻底查杀该病毒。(专杀下载地址: https://bbs.huorong.cn/thread-18575-1-1.html

Image-1.png Image-2.png
火绒查杀图

经火绒工程师分析溯源发现,传奇私服登录器携带的恶意模块和火绒捕获的其历史版本恶意模块,均添加了微软WHQL认证签名(如下图),会容易让用户误认为其是微软官方推出的一款程序。该行为具有较强的迷惑性,广大用户需要警惕。

Image-3.png
传奇私服登录器恶意模块数字签名信息

Image-4.png
火绒9月捕获恶意模块数字签名信息


事实上,我们在搜索引擎中搜索“私服”等关键词时,可以发现包括传奇私服在内的众多游戏私服开服表链接,如下图:

Image-5.png
百度搜索结果


长久以来,这类游戏私服为了攫取利益,打着“让用户获取更好的游戏体验”的名义,利用搜索引擎竞价排名功能付费宣传和推广,诱导用户下载使用;同时,它们往往也携带病毒(此前火绒也曾报告过倚天OL、九州私服登录器中带有后门病毒),严重侵害用户隐私和资产安全。

火绒工程师提醒广大用户,切勿使用上述类似软件;谨慎下载不明网站软件,如需使用,请下载后使用火绒及时查杀。


补充阅读:
私服游戏携带后门病毒远控电脑,请用户谨慎下载
https://www.huorong.cn/info/1601463871520.html



以下为详细分析与样本hash:

一、        详细分析
通常,对此类游戏存在需求的用户会在搜索引擎中搜索诸如“私服”之类的关键字,在搜索结果中会出现大量游戏私服开服表链接。游戏私服开服表再将用户引流到具体的游戏私服站点,下载私服登录器。

Image-6.png
游戏私服开服表页面

当用户从前文所述游戏私服站点下载、启动传奇私服登录器时,私服登录器会在后台释放并加载下载者驱动,该驱动会连接外网并下载一个经过伪装加密的“.jpg”文件,在进行解密后最终得到恶意驱动。整体的病毒执行流程如下图所示:

Image-7.png
病毒执行流程

涉及主要恶意文件信息如下图所示:

Image-8.png
GK-Client文件信息

Image-9.png
下载者驱动文件信息

Image-10.png
恶意驱动文件信息

(一)        GK-Client.Dll解密运行下载者驱动
游戏私服登录器运行后,会加载GK-Client.dll并调用其导出函数CInit执行恶意逻辑。CInit中执行的主要恶意逻辑代码如下图所示:

Image-11.png
主要恶意逻辑

首先会查找是否存在资源名为“BIN”的资源文件,如果存在则继续执行解密逻辑,代码如下图所示:

Image-12.png
查找待解密资源

具体解密代码逻辑如下图所示:

Image-13.png
解密逻辑

解密完成后启动下载者驱动服务,代码逻辑如下图所示:

Image-14.png
启动下载者驱动

(二)        下载者驱动下载解密恶意驱动
下载者驱动首先会将经过倒转的BASE64编码还原恢复正常顺序,保存的字符串如下图所示:

Image-15.png
恢复被倒转的BASE64编码

将BASE64编码进行解码后,得到的网址如下图所示:

Image-16.png
下载恶意驱动网址

在成功解密得到下载网址后下载者驱动会向服务器发起请求,访问下载网址中的文件,下载逻辑如下图所示:

Image-17.png
请求下载恶意驱动

同GK-Client.dll的解密文件的逻辑一致,在下载的文件0x2800偏移处保存需要解密的文件大小,0x2804偏移处保存异或的值,0x2808偏移处保存需要开始解密的文件首地址;解密完成后,下载者驱动将解密后的数据写入至“drivers”目录下。具体逻辑如下图所示:

Image-18.png
将恶意驱动解密并写入本地

最后下载者驱动会为恶意驱动创建注册表服务,并加载运行恶意驱动,如下图所示:

Image-19.png
加载恶意驱动

(三)        恶意驱动
恶意驱动启动后会创建多个线程同时执行多个恶意操作,如下图所示:

Image-20.png
创建多个线程

1.        恶意规则下发
其中从外网下载规则文件的主要逻辑代码如下图所示:

Image-21.png
解密BASE64编码

将BASE64编码进行解码后,得到的网址如下图所示(目前规则文件已经无法下载):

Image-22.png
规则文件网址

规则文件下载完成后,恶意驱动会对下载的文件内容按照不同的字段信息进行匹配,设置相应的规则,匹配的字段代码如下图所示:

Image-23.png
匹配规则文件字段

规则文件中的部分字段含义如下图所示:

Image-24.png
规则文件字段含义

2.        内核对抗
其中签名信息黑名单规则用于对系统中启动的程序做比较判断,如果启动的进程相应文件存在签名,且签名信息命中黑名单规则,恶意驱动便将目标进程结束。如果黑名单规则中的签名信息均未命中,则会继续对目标进程名称做判断,当进程名是“SuperKiller”或者“SuperKillller”时,目标进程同样会被结束。相关代码如下图所示:

Image-25.png
结束命中黑名单规则的进程

同时恶意驱动文件本身也保存一批签名信息黑名单,命中这批黑名单的程序同样会被恶意驱动禁止加载启动,黑名单信息如下图所示:

Image-26.png
黑名单信息

3.        流量劫持
劫持网站相关的字段jack中保存有以下三种二级字段信息,相关含义如下图所示:

Image-27.png
劫持规则字段含义

恶意驱动通过Hook驱动Afd的MajorFunction[IRP_MJ_DEVICE_CONTROL]和FastIoDispatch达到劫持网络的目的,Hook代码逻辑如下图所示:

Image-28.png
Hook逻辑

在被Hook后的函数中,恶意驱动会对网络请求相关的IoControlCode进行过滤,具体劫持逻辑如下图所示:

Image-29.png
劫持逻辑

4.上传用户终端信息
同时恶意驱动会获取主机的CPU核数,硬盘sn序列号,C盘Windows文件夹创建日期,通过一系列计算将得到的结果拼接最终上报至远程服务器上,拼接代码如下图所示:

Image-30.png
上报主机信息
用于上报主机信息的服务器地址,如下图所示:

Image-31.png
服务器网址

二、        附录
样本hash
Image-32.png

免费评分

参与人数 65吾爱币 +48 热心值 +59 收起 理由
吾爱坡姐 + 1 + 1 用心讨论,共获提升!
NoahZe + 1 我很赞同!
zhaoyue1991 + 1 + 1 我很赞同!
gbload + 1 + 1 用心讨论,共获提升!
进击的喵星人 + 1 我很赞同!
weixy1216 + 1 肯定工程师上班打传奇了
Glogistics + 1 热心回复!
94udgs + 1 + 1 谢谢@Thanks!
WangsBoy + 1 + 1 火绒大大我建议,以后吧那种病毒链接用图片的方式展现出来,不然,我手欠了.
ale8898 + 1 我很赞同!
ddyixi + 1 我很赞同!
taotieren + 1 我很赞同!
tangyuan852 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hxqz123 + 1 + 1 我很赞同!
kjian + 1 + 1 谢谢@Thanks!
Cejing514210889 + 1 + 1 我很赞同!
ruogu + 1 鼓励转贴优秀软件安全工具和文档!
pengjian5506261 + 1 我很赞同!
isaacFU + 1 热心回复!
wing2021 + 1 我很赞同!
yixingong1 + 1 热心回复!
Gaoqs73 + 1 我很赞同!
zhczf + 1 我很赞同!
matrixzpc + 1 谢谢@Thanks!
p7xli0 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
肉蛋葱鸡 + 1 + 1 谢谢@Thanks!
凉茶瓜子子 + 1 + 1 我很赞同!
srfsk + 1 + 1 我很赞同!
nihao7758 + 1 + 1 火绒YYDS!!!!
xiaohanjss + 1 + 1 我很赞同!
zhan展 + 1 我很赞同!
88897651 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
灵彤 + 2 + 1 我很赞同!
宾鹏博 + 1 + 1 谢谢@Thanks!
52fansir + 1 牛皮!
小章大大呀 + 1 用心讨论,共获提升!
longling + 1 + 1 用心讨论,共获提升!
bylking + 1 + 1 用心讨论,共获提升!
xxx2020 + 1 + 1 谢谢@Thanks!
TangGod + 1 + 1 谢谢@Thanks!
都叫我小智哥 + 1 + 1 我很赞同!
厥丨舞 + 1 + 1 我很赞同!
user_0628 + 1 + 1 我很赞同!
LGY龙渊 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
有情人终成兄妹 + 1 + 1 我很赞同!
Juce + 1 + 1 我很赞同!
zxbin + 1 我很赞同!
hanlaoshi + 1 + 1 谢谢@Thanks!
3303232005 + 1 + 1 热心回复!
秽土转生 + 1 我很赞同!
你就是远方 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
板砖亲你头 + 1 + 1 我很赞同!
春之花夏 + 1 + 1 再也不敢一天一个好服了
wo112987168 + 1 + 1 谢谢@Thanks!
yhw231 + 2 + 1 祝火绒越做越好,相信你们是一群有梦想的人!
BINGBINGTANG + 1 鼓励转贴优秀软件安全工具和文档!
牛逼Plus + 1 + 1 祝火绒越做越好,相信你们是一群有梦想的人!
浅月 + 1 + 1 用心讨论,共获提升!
肥猫警长 + 1 + 1 谢谢@Thanks!
gc12138 + 1 + 1 热心回复!
紫丶罗兰 + 1 我很赞同!
MJXMJXMJX + 1 + 1 热心回复!
yanghuiqq168 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
司空节糙 + 1 热心回复!
等老子火了 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

花葬 发表于 2021-11-8 20:31
心中有梦闯天下 发表于 2021-11-8 20:12
又想玩传奇,又不想中毒怎么办

使用影子助手,或者虚拟机,或者冰点,或者shadow
yuchunlnog 发表于 2021-12-10 03:46
花葬 发表于 2021-11-9 20:24
你说的不错,不过前两天,我刚用VM虚拟机登录了传奇,也用shadows开了传奇,其他的我没试
所以,不是我很久不 ...

你要是176 沉默爱好者,我倒是可以推荐你玩我发小的服。私服搞了十几年了。爱玩玩,不卖装,自己手动打。稳定多年,自己做版本,圈内辨识度也算高。
头像被屏蔽
yayatu521 发表于 2021-11-8 19:30
yudian 发表于 2021-11-8 19:36
火绒yyds,牛批
途中。。 发表于 2021-11-8 20:03
火绒NB支持
lsy832 发表于 2021-11-8 20:04
是兄弟就跟我一起砍传奇哈哈
心中有梦闯天下 发表于 2021-11-8 20:12
又想玩传奇,又不想中毒怎么办
QRQF001 发表于 2021-11-8 20:35
这游戏有多少人在玩?
wqs0987 发表于 2021-11-8 21:04
感谢大佬的无私分享
heikis 发表于 2021-11-8 21:14
这玩的也太阴了吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 23:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表