Steam新型盜號(hào)木馬及產(chǎn)業(yè)鏈的分析報(bào)告是什么

Steam新型盜號(hào)木馬及產(chǎn)業(yè)鏈的分析報(bào)告是什么，針對(duì)這個(gè)問題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

報(bào)告作者：360CERT，360核心安全事業(yè)部

0x00 前言

《絕地求生：大逃殺》自Steam上線以來就一直占據(jù)銷量榜榜首，可見該款游戲的熱門程度。用戶紛紛加入“吃雞大軍”，而《絕地求生：大逃殺》需要用戶在Steam商城花費(fèi)98元購買才能夠開始“吃雞”。黑產(chǎn)從業(yè)者也發(fā)現(xiàn)這里面“商機(jī)”并盯上了用戶手里的Steam賬號(hào)，他們?cè)噲D通過盜取Steam賬號(hào)數(shù)據(jù)并售賣，進(jìn)而牟利。

“郵箱數(shù)據(jù)”貼吧

而我們也發(fā)現(xiàn)這些黑產(chǎn)從業(yè)者正試圖在貼吧、QQ群里售賣手里的非法Steam數(shù)據(jù)，其中的“郵箱數(shù)據(jù)”貼吧里發(fā)布了大量的非法Steam數(shù)據(jù)交易內(nèi)容。并且，我們360云安全系統(tǒng)監(jiān)測近期也有曝光過一些不法分子借助變聲器、外掛、加速器等進(jìn)行盜號(hào)木馬傳播，該木馬一旦運(yùn)行，即可成功盜取得用戶的QQ號(hào)和動(dòng)態(tài)Skey。

騰訊為了方便用戶，在登錄的QQ電腦中，可以使用“快速登錄”的方式，在使用此種登錄方式的過程中，會(huì)產(chǎn)生一個(gè)密鑰，是QQ登錄的另一種身份證，盜號(hào)者可以通過這個(gè)key來識(shí)別用戶的QQ，登錄郵箱，QQ空間、看相冊(cè)、日記，發(fā)布說說，微博，財(cái)付通，QB查詢……

使用QQkey登錄郵箱工具

通過偽裝steam外掛傳播的不法分子通過快速登錄QQ郵箱，將盜取與QQ郵箱有綁定關(guān)系的Steam賬號(hào)以及相關(guān)財(cái)產(chǎn)。

360-CERT對(duì)此漏洞進(jìn)行了相關(guān)分析，認(rèn)為漏洞影響嚴(yán)重；目前相關(guān)的報(bào)告已經(jīng)公開，建議相關(guān)用戶盡快進(jìn)行評(píng)估預(yù)案。

0x01 產(chǎn)業(yè)鏈分析

我們嘗試跟貼吧中一個(gè)“販子”進(jìn)行溝通，試圖還原整個(gè)盜號(hào)產(chǎn)業(yè)鏈的情況。

溝通的過程“販子”向我們展示了盜取Steam賬號(hào)過程中需要的工具以及測試數(shù)據(jù)，從工具來看，我們發(fā)現(xiàn)他們用于竊取QQKey的收信方式主要有騰訊企業(yè)郵箱收信、ASP收信。

盜號(hào)木馬生成器、QQKEY登錄器

“販子”還告訴了我們這些工具、源碼在圈內(nèi)的價(jià)位，整套盜號(hào)木馬生成器的易語言源碼一套售價(jià)1500，而對(duì)于一些不懂的加工易語言源碼的工作室主要是通過購買價(jià)位在800左右的QQKey盜號(hào)木馬生成器，就連用于登錄QQKey的登錄器也要400。

我們以需要測試盜號(hào)木馬是否能夠免殺360向“販子”要了一個(gè)測試木馬，“販子”稱它的木馬能夠過360，然而文件剛下載下來就被QVM查殺了。其實(shí)，該木馬本身技術(shù)門檻并不高。而整個(gè)盜號(hào)流程中至關(guān)重要的就是賬號(hào)數(shù)據(jù)量，而在后續(xù)溝通的過程中，我們也“販子”那了解到他們的手法主要為引流傳播，并再次向我們展示了他們行業(yè)“擼號(hào)寶典”。

最終我們還原出關(guān)于這類黑色產(chǎn)業(yè)鏈的情況如下圖：

0x02 竊取QQkey

我們根據(jù)近期捕獲的樣本中發(fā)現(xiàn)，此類盜號(hào)木馬的竊取QQkey的攻擊手法主要有兩種。

利用QQ快速登錄竊取QQKey

通過訪問http://localhost.ptlogin2.qq.com:4300/[url]獲取用戶登錄qq的key ,將Set-Cookie中的clientKey發(fā)送到牧馬人的服務(wù)器（464690486.blkj.tk）中。

牧馬人的服務(wù)器通過qqkey.php以Get的方式接收QQkey進(jìn)程存儲(chǔ)，傳輸?shù)臄?shù)據(jù)主要有：qq號(hào)碼、QQ名稱、QQkey。

將qq號(hào)和qq登錄的key發(fā)送到指定服務(wù)器

還將信息發(fā)送到指定郵箱

其中某木馬分發(fā)者的收信網(wǎng)站流量：

注：該圖來自360網(wǎng)絡(luò)安全研究院

根據(jù)網(wǎng)站流量來看從2018年3月30日開始網(wǎng)站流量突然飆升，在上面我們也貼出了該站的訪問日志。

另外一個(gè)木馬分發(fā)者的收信郵箱：

由此可見收獲不菲。

暴力搜索內(nèi)存提取QQkey，上傳服務(wù)器或者郵箱

讀取QQ.exe內(nèi)存

發(fā)送QQKey到服務(wù)器

登錄到一個(gè)盜號(hào)者的服務(wù)器上，可以看到半小時(shí)左右就有2000多個(gè)QQ賬號(hào)和密碼被盜取。

服務(wù)器上QQKey記錄

新型變種

關(guān)于這個(gè)新型變種，我們發(fā)現(xiàn)他獲取QQkey使用的方法并沒有改變(這種方法目前在國內(nèi)目前只有360可以查殺)

 依舊還是通過QQ快速登錄的接口獲取的QQkey，如下圖：

       不過我們發(fā)現(xiàn)他上傳QQkey的方法發(fā)生了改變，由以前的通過郵箱收信、ASP收信變成了socket通信，如下圖木馬正在連接C&C服務(wù)器：

       我們通過技術(shù)手段獲得了該變種的木馬生成器，該生成器中包含：全自動(dòng)進(jìn)入QQ郵箱盜號(hào)、管理獲取的QQkey、自動(dòng)生成木馬等等，可見功能非常齊全。

       其中，我們得知該服務(wù)器在4月11日至4月12日之間流量飆升，由此可見該變種應(yīng)該是在4月11日的時(shí)候放出的，事后我們對(duì)此變種進(jìn)行了攔截，該C&C服務(wù)器的流量圖如下：

注：該圖來自360網(wǎng)絡(luò)安全研究院

0x03 IOC

12e13e.exe  55AC18FB660F726EB801B8F03F9EBC37

wrqdfq.exe   37575D21B8CD16ABA4C3E1B3013B1E31

QQPass.exe  6CB90F793DB09FEF0077E599C6FF6F20

0x04 時(shí)間線防范建議

1、立即下載安裝“360安全衛(wèi)士”對(duì)此類木馬進(jìn)行防范。

2、不要因?yàn)槭褂幂o助軟件而關(guān)閉安全軟件的防護(hù)功能。

0x05 總結(jié)

360云安全大數(shù)據(jù)顯示該類型木馬數(shù)量一直在不斷的增加，不單單是可能影響到用戶的Steam賬號(hào)安全，也影響了用戶QQ其他業(yè)務(wù)的安全性，有可能促使用戶遭受較大的經(jīng)濟(jì)損失等。

建議廣大用戶立即下載安裝目前國內(nèi)唯一能查殺此類樣本的“360安全衛(wèi)士”進(jìn)行查殺。

。

關(guān)于Steam新型盜號(hào)木馬及產(chǎn)業(yè)鏈的分析報(bào)告是什么問題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。