莘县生活网

 找回密码
 立即注册
查看: 402|回复: 0

!网络小黑揭秘系列之私服牧马人

[复制链接]

8211

主题

8211

帖子

2万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
25419
发表于 2015-12-3 13:13:45 | 显示全部楼层 |阅读模式


人在做,天在看。


对安适研究者来说,一次次的扒皮时时都是从一个最简单的线索开首,比方一个IP、域名或步伐样本。这回的也不例外,惹起我们留心的是一个步伐样本,名为“仙侠丢失之风卷残云.exe”。嗯,看起来是个游戏步伐,执行起来也是:

不过有点不对劲,开玩游戏的同时竟然触发了我们基于网络的木马检测告警,使用了Gh0st/大灰狼的通讯协议结构。138。其实,绑了木马的应用步伐并不鲜见,前一阵子沸沸扬扬的Xcode后门事宜就是这个套路,让我们看看这回的私货怎样样。

样本理解

搞清楚样本的行为并不贫穷,对比一下3。攻击者用捆绑器在应用中植入了大灰狼远控木马,样本执行自此一系列的行动根本如下图所示:

徐州徐软消息科技无限公司将每一个触及到的样本的细节剖析如下,供同行们参考。你看111scweb。

样本A

MD5:d28e9b3f910cb976e4

大小Kb

这是一个被做过捆绑的步伐作为Dropper,运转后,它会开释一个真正的客户端到Temp目录下:

当然,http 。还会买一送一地再开释一个DhlServer.exe到Temp目录下,以下我们将其称为样本B:

开释的客户端和DhlServer.exe(样本B)会同时运转起来:

完成这些自此,样本A加入:

样本B

DhlServer.exe

MD5:ff9ff955b6cd684d3f0d

大小:。28Kb

在样本B的执行进口处,步伐会解密一个字符串,其实是后续代码的下载地址:

以下是加密字符串的解密算法:。首先leveling bottom level64解码,然后单字节加0x7A,最单字节异或0×59

Bottom64解码前:

WinHex里的密文数据:

按如上的解密算法治理后:

显然这是一个URL:。http://120.26.**.**/NetSyst88.dll,我们把这个dll下载回来:

文件形式做了加密:

样本B会机关一个名字为DirPfound onh的变量:C:\Progrwthe wayFiles\AppPfound onch\NetSyst88.dll,如图:

然后议定CredinedFileA鉴定C:\Progrwthe wayFiles\AppPfound onch\NetSyst88.dll文件能否生存:

假如CredinedFile的前往值不是-1,说明生存此文件,你看com。接着样本B会对文件做一个简单的校验,先在文件里查找”SSSSSS”字符串,相比看111scweb。假如找到,往后找12个字节鉴定能否为”VID:2014-SV8”and假如是则校验议定,。如图:

观察我们取得的NetSyst88.dll,文件结尾结构如图,适应外部的校验形式:

假如不生存该文件,或许校验打击,样本B就会从http://120.26.**.**/NetSyst88.dll地址把文件下载到当地:

下载获胜后,议定GetFileSize获取文件的大小,VirtuingAlloc出相应的内存空间:学会网络。

读取文件形式到分配的空间中,开首解密读取到的数据:

解密密钥为“Kother599”,步伐会循环生成0×400字节大小的字典:

生成字典的数据格式为:

与之前生成的密钥字典循环运算取得另外一个字典:

进入解密数据的循环,和生成的字典运算解密:

解密后取得的是一个PE文件,如图:

Dump进去,我们权且称它为样本C,www.111scweb。确认是一个加了UPX壳的dll,有2个导出函数,其中一个名为DllFuUpgringzheimerhas disethe wayers,如图:www.222sc.com

样本B会把解密后的数据(样本C)在内存中加载起来:听听网络小黑揭秘系列之私服牧马人。

获取导出函数DllFuUpgringzheimerhas disethe wayers的地址调用,传达了2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni”(听起来很反目谐):

样本C

从样本B中Dump进去的dll文件,这个明文版本现实运转时并不落地。系列。

MD5:b7dab6db28daff2cc997c

大小:244Kb

从提取的字符串来看是一个远控的主旨模块:

步伐不但包罗了远控的要紧主旨代码,想知道牧马人。而且还包罗了保守远控Droper的安置木马任事端的功效,如此的打算要紧有两个斟酌:

1、尽量减小样本B的体积(唯有28K),简单宣扬和做针对性的免杀

2、把尽可能多的代码放到样本C中,由于样本C在磁盘上落地的为加密版本,看着88msc 菲律宾。运转时被加载到内存解密执行,杀毒软件不能查杀加密后的样本C,以抵达远控主旨模块免杀的主意

样本C的DllFuUpgringzheimerhas disethe wayers导出函数的第一个参数是加密的字符串,解密后应当是上线配置消息的数据结构:

进口出调用的解密算法和样本B的字符串的解密算法一样:

解密后取得明文的上线配置消息:

上线地址为,这是一个静态域名,而静态域名凡是会被杀毒工具重点眷注,所以很多歹意代码愚弄ip138网站议定Web查询的方式举行解析,这样杀毒工具的网络阻拦就会生效,由于ip138是一个受信托的站点。样本C会提交如下的乞请:

ips138.or net?ip=&wthe wayplifier;oper=2

在前往的数据中去查找&ldquo;>>&rdquo;和&ldquo;</&rdquo;之间的数据获取木马的上线IP地址:。

以下是对上线结构的描绘:

获取上线IP后,木马任事端会去结合这个IP与远控的把握端举行通讯,下图为远控的接纳数据并执行指定指令的函数,包罗一齐支流远控的功效:听听。

远控任事端植入到受益者电脑上后,受益者的电脑就成了傀儡,执行各种攻击者指定的歹意操作,比方键盘记载偷取密码、屏幕截取、摄像头观察(接上去你就能看到)等等。

反制探查

从样本理解我们取得了上线域名,接上去我们挖挖域名对应的任事器。

议定查询360天眼吓唬情报中心的基础数据,学习3。取得了静态域名曾经绑定过的IP地址消息,其中最近绑定的IP地址是120.26.**.**:

该IP就是木马的上线的IP地址,对任事器探查了一番,创造生存一个可愚弄的缺陷并获胜排泄进任事器,创造下面运转着大灰狼远控把握端,学会小黑。如图:

任事器上运转的木马把握端监听了2个端口:2016和2017。

观察监听2017端口上线的机器,创造都是架设私服的任事器体系,如图:

而监听2016端口呢,上线的机器凡是都是家庭用户或许网吧用户(臆度是私服玩家),掀开几个摄像头,果真创造好几个都是在网吧玩私服,如图:事实上。

所以,攻击者应当配置了2个木马:一个配置2016端口,捆绑到私服的客户端上,私服玩家下载的私服客户端中招上线2016端口;另一个配置2017端口,捆绑到用于搭建私服的软件包里,com。特地任事于搭建私服任事器的人,使用这个植入木马的私服软件包完成搭建的同时任事器也就结合2017端口到攻击者的任事器报到。揭秘。不出所料,我们在任事器D盘的一个叫&ldquo;好&rdquo;文件夹里创造了搭建私服的工具:

对搭建私服的工具举行理解,创造这个文件也异样被捆绑了DhlServer.exeand

提取进去这个DhlServer.exe,确认这个样本结合的是2017端口:

攻击者除了捆绑木马到私服客户端使私服玩家中毒外,还议定自身开设私服的私服客户端以更新的方式下发木马:

攻击者议定对私服玩家和私服开设者的双重把握,想干什么就取决于攻击者的神色和需求了,我们没有进一步挖掘下去。若干用户受影响?基于360天眼吓唬情报中心的数据,我们确认受木马感染的机器数量在台以上。谁是可能的幕后黑手呢?接着往下看。对比一下。

顺藤摸瓜

创造上线域名是个很好的打破口,历史记载是理解者的好伴侣,下面就是证明。

议定搜寻引擎搜寻静态域名:,定位了一个猪八戒网的注册账号:zlailxc

注册人是一个湖北荆门的人,推测账号的结构可能为:其实。zl [名字拼音首字母] ai [爱] lxc [名字拼音首字母]

常用邮箱: 895*****@

手机号: 156*****520

凭据账号名顺手试了几个字典里罕见的字串,获胜,一个很深情的全数字密码:5**1*1* ,与上线域名鞭长莫及。

登陆下去创造绑定的邮箱地址为:895***90@,可疑人的QQ号看来是895***90,完全地址标为:湖北荆门钟祥,如图:

搜寻了一下QQ号,QQ材料如图,一齐的消息没有对外公然,看着。说明可疑人还是对照留心私人安适的:

查询QQ群相关数据库,创造可疑人的名字叫刘星*,和方才的账号中的lxc吻合,而且可疑人也到场了私服技术(菜鸟群),也与上文的样本A的起源吻合:

这样,账号的含义更显露了:zl [臆度是他女伴侣的名字] ai [爱] lxc [刘星*]。

议定搜寻引擎搜寻QQ号创造了一条记载,私服。是在钟祥论坛发的帖子,如图:

帖子的标题为:博远棋牌。&ldquo;求搭建的技术&rdquo;,如图:

可疑人回过帖子,他的论坛的昵称为liuhong*,可能是凭据刘星*的名字编的一个名字,创造可疑人在2012年仍旧掌握的架设技术了:

确认钟祥是湖北荆州下辖的一个县级市:

还是之前爆破的那个密码,获胜登录进可疑人在钟祥论坛的账号,但是一齐操作都呈现以下页面,可能是账号被论坛封了,如图:

议定搜寻QQ号,还创造可疑人之前还注册过一个域名:相比看com。www.yaoqi**.com:

此域名之前就是一个私服站:

查找这个域名的消息,创造QQ号,电话号码为:138*****337:

查询电话号码归属地,创造电话号码是湖北荆门的,应当是可疑人的电话号码:

如何愚弄手机号取得更多的消息呢?支出宝其实是个不错的渠道,查找手机号,创造手机号绑定了多个支出宝账户,第一个支出宝账户的名字和可疑人的名字适应,第四个支出宝的名字固然打星了,138。但是能够揣摩很可能是女伴的名字,叫*琳,更进一步显露静态域名账号的含义:zl[*琳] ai [爱] lxc [刘星*]:

掀开第一账号,找到可疑人的照片,挺帅一个小伙子,干点庄敬事多好:

再次查询www.yaoqi**.com域名的whois消息,对于。创造域名的一齐者为liu xing**** liu:

对联系人举行反查,还创造了另外一个域名 www.girl**.net:

Google搜寻了一下yaoqi**.com,创造这个私服站可能被挂过博彩的黑页,如图:

一些总结

我们而今看到的整个事宜线:

1、攻击者在私服搭建者用到的工具中捆绑远控木马,我不知道网络小黑揭秘系列之私服牧马人。将工具共享推论进来,等候其他的私服架设者下载使用,这种净化工具源的攻击方式与Xcode后门事宜相通。

2、攻击者刻舟求剑等候使用后门架站工具的私服上线,举行把握。

3、攻击者在自身的私服登陆器更新的同时向私服玩家推送木马。

4、攻击者修正被控私服的客户端登陆器,捆绑上木马,等候他们的私服玩家中招。

如下图所示:



网络是一个魔鬼出没的世界,私服挺象一片沼泽,灰色地带可能躲藏着更多的魔鬼,有时期你真的不知道是你在玩游戏还是游戏在玩你。
观察原文:

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|申博娱乐 ( 晋icp备11001293号

GMT+8, 2018-6-18 21:29 , Processed in 0.498793 second(s), 21 queries .

Powered by 申博www.88msc.com

© 2006-2014 www.063508.com

快速回复 返回顶部 返回列表