引子
人在做-天在看。
对360天眼实验室来说-一次次的扒皮不时都是从一个最简单的线索早先-比方一个IP、域名或顺序样本。传奇世界h5攻略刷元宝。这回的也不例外-惹起我们仔细的是一个顺序样本-名为“仙侠丢失之风卷残云.exe”。在网。嗯-看起来是个游戏顺序-执行起来也是:
不过有点不对劲-开玩游戏的同时竟然触发了我们基于网络的木马检测告警-使用了Gh0st/大灰狼的通讯协议结构。果然发现好几个都是在网吧玩私服。其实-绑了木马的应用顺序并不鲜见-前一阵子沸沸扬扬的Xcode后门事情就是这个套路-让我们看看这回的私货何如样。中变刷元宝。
样本理解
搞清楚样本的行为并不困穷-攻击者用捆绑器在应用中植入了大灰狼远控木马-样本执行以来一系列的举动基本如下图所示:
每一个触及到的样本的细节剖析如下-供同行们参考。对于中变刷元宝。
样本A
MD5:d28e9b3f910cb976e4
大小Kb
这是一个被做过捆绑的传奇私服顺序作为Dropper-运转后-它会开释一个真正的传奇私服客户端到Temp目录下:
当然-还会买一送一地再开释一个DhlServer.exe到Temp目录下-以下我们将其称为样本B:
开释的传奇私服客户端和DhlServer.exe(样本B)会同时运转起来:
完成这些以来-样本A加入:
样本B
DhlServer.exe
MD5:ff9ff955b6cd684d3f0d
大小:28Kb
在样本B的执行进口处-顺序会解密一个字符串-其实是后续代码的下载地址:
以下是加密字符串的解密算法:首先pvp bottom pair conditioning unitity64解码-然后单字节加0x7A-最单字节异或0x59
Bottom64解码前:
WinHex里的密文数据:
按如上的解密算法治理后:
显然这是一个URL:http://120.26.**.**/NetSyst88.dll-我们把这个dll下载回来:
文件形式做了加密:
样本B会结构一个名字为DirPduringh的变量:C:\ProgrihamFiles\AppPduringch\NetSyst88.dll-如图:
然后经由过程CreconsumedFileA果断C:\ProgrihamFiles\AppPduringch\NetSyst88.dll文件能否生计:
倘使 CreconsumedFile的前往值不是-1-说明生计此文件-接着样本B会对文件做一个简单的校验-先在文件里查找”SSSSSS”字符串-倘使找到-往后找12个字节果断能否为”VID:2014-SV8”-倘使是则校验经由过程-如图:
张望我们获得的NetSyst88.dll-文件末端结构如图-?合外部的校验设施:
倘使不生计该文件-大概校验衰落-样本B就会从http://120.26.**.**/NetSyst88.dll地址把文件下载到当地:
下载乐成后-经由过程GetFileSize获取文件的大小-VirtuingAlloc出相应的内存空间:
读取文件形式到分配的空间中-早先解密读取到的数据:
解密密钥为“Kother599”-顺序会循环生成0x400字节大小的字典:
生成字典的数据格式为:
与之前生成的密钥字典循环运算获得另外一个字典:
进入解密数据的循环-和生成的字典运算解密:
解密后获得的是一个PE文件-如图:
Dump进去-我们且自称它为样本C-确认是一个加了UPX壳的dll-有2个导出函数-其中一个名为DllFuUpgrproposingrs-如图:
样本B会把解密后的数据(样本C)在内存中加载起来:
获取导出函数DllFuUpgrproposingrs的地址调用-转达了2个参数:第一个为加密过的数据块-第二个为字符串“Cao360yni”(听起来很反目谐):
样本C
从样本B中Dump进去的dll文件-这个明文版本现实运转时并不落地。最新1.76传奇漏洞网。
MD5:b7dab6db28daff2cc997c
大小:244Kb
从提取的字符串来看是一个远控的主旨模块:
顺序不但包罗了远控的紧要主旨代码-而且还包罗了保守远控Droper的安置木马办事端的功用-如此的打算紧要有两个思量:
1、尽量减小样本B的体积(惟有28K)-便当撒布和做针对性的免杀
2、把尽可能多的代码放到样本C中-由于样本C在磁盘上落地的为加密版本-运转时被加载到内存解密执行-杀毒软件不能查杀加密后的样本C-以到达远控主旨模块免杀的目标
样本C的DllFuUpgrproposingrs导出函数的第一个参数是加密的字符串-解密后该当是上线配相信息的数据结构:
进口出调用的解密算法和样本B的字符串的解密算法一样:
解密后获得明文的上线配相信息:
上线地址为-这是一个静态域名-而静态域名日常会被杀毒工具重点关切-所以很多歹意代码行使ip138网站经由过程Web查询的方式实行解析-这样杀毒工具的网络阻拦就会生效-由于ip138是一个受信赖的站点。样本C会提交如下的乞请:
ips138.or net?ip= &ihamplifier;stperiod=2
在前往的数据中去查找“>>”和“</”之间的数据获取木马的上线IP地址:
以下是对上线结构的形貌:
结构形式
结构含义
2016
上线端口
T
时间
Wsfroi czdfqpba
随机办事名
监测和监视新硬件摆设并主动更新摆设驱动。事实上果然发现好几个都是在网吧玩私服。
办事形貌
%SystemRoot%\
文件开释途径
Terms.EXE.exe
开释的文件名
默许分组
上线分组
ips138.or net?ip=%s&ihamplifier;stperiod=2
ip138上线方式
>>
ip138上线方式的早先标志
</
ip138上线方式的完了标志
http://dns.aizha ?q=%s
aizha single上线方式
-
aizha single上线方式的早先标志
%s
QQ空间上线-标志是安稳的
获取上线IP后-木马办事端会去赓续这个IP与远控的负责端实行通讯-下图为远控的给与数据并执行指定指令的函数-包罗悉数支流远控的功用:
远控办事端植入到受益者电脑上后-受益者的电脑就成了傀儡-执行各种攻击者指定的歹意操作-比方键盘纪录偷取密码、屏幕截取、摄像头张望(接上去你就能看到)等等。我不知道网吧。
反制探查
从样本理解我们获得了上线域名-接上去我们挖挖域名对应的办事器。沉默版本传奇漏洞。
经由过程查询360天眼威迫情报中心的基础数据-取得了静态域名曾经绑定过的IP地址信息-其中最近绑定的IP地址是120.26.**.**:
该IP就是木马的上线的IP地址-对办事器探查了一番-呈现生计一个可行使的罅隙毛病并乐成分泌进办事器-呈现下面运转着大灰狼远控负责端-如图:
办事器上运转的木马负责端监听了2个端口:2016和2017。烈焰无限元宝服 中变。
张望监听2017端口上线的机器-呈现都是架设私服的办事器编制-如图:
而监听2016端口呢-上线的机器日常都是家庭用户大概网吧用户(预计估摸是私服玩家)-掀开几个摄像头-果真呈现好几个都是在网吧玩私服-如图:
所以-攻击者该当配置了2个木马:一个配置2016端口-捆绑到私服的客户端上-私服玩家下载的私服客户端中招上线2016端口;另一个配置2017端口-捆绑到用于搭建私服的软件包里-特地办事于搭建私服办事器的人-使用这个植入木马的私服软件包完成搭建的同时办事器也就赓续2017端口到攻击者的办事器报到。不出所料-我们在办事器D盘的一个叫“好”文件夹里呈现了搭建私服的工具:
对搭建私服的工具实行理解-呈现这个文件也异样被捆绑了DhlServer.exe-
提取进去这个DhlServer.exe-确认这个样本赓续的是2017端口:
攻击者除了捆绑木马到私服客户端使私服玩家中毒外-还经由过程自身开设私服的私服客户端以更新的方式下发木马:
攻击者经由过程对私服玩家和私服开设者的双重负责-想干什么就取决于攻击者的心境和需求了-我们没有进一步挖掘下去。176传奇漏洞。烈焰无限元宝服 中变。若干用户受影响?基于360天眼威迫情报中心的数据-我们确认受木马感染的机器数量在台以上。你看传奇76漏洞升级。谁是可能的幕后黑手呢?接着往下看。发现。
顺藤摸瓜
呈现上线域名是个很好的打破口-历史纪录是理解者的好朋侪-下面就是证明。
经由过程搜罗引擎搜罗静态域名 :-定位了一个猪八戒网的注册账号:zlailxc
注册人是一个湖北荆门的人-推测账号的结构可能为:zl [名字拼音首字母] ai [爱] lxc [名字拼音首字母]
常用邮箱: 895*****@
手机号 : 156*****520
凭据账号名唾手试了几个字典里罕见的字串-乐成-一个很深情的全数字密码:5**1*1* -与上线域名鞭长莫及。2017传奇刷元宝漏洞。
登陆下去呈现绑定的邮箱地址为:895***90@-怀疑人的QQ号看来是895***90-完全地址标为:湖北荆门钟祥-如图:
搜罗了一下QQ号-QQ原料如图-悉数的信息没有对外公然-说明怀疑人还是对比仔细私人平安的:
查询QQ群干系数据库-呈现怀疑人的名字叫刘星*-和适才的账号中的lxc吻合-而且怀疑人也到场了私服技术(菜鸟群)-也与上文的样本A的根源吻合:
这样-账号的含义更知道了:zl [预计估摸是他女朋侪的名字] ai [爱] lxc [刘星*]。
经由过程搜罗引擎搜罗QQ号呈现了一条纪录-是在钟祥论坛发的帖子-如图:
帖子的标题为:“求搭建传奇私服的技术”-如图:
怀疑人回过帖子-他的论坛的昵称为liuhong*-可能是凭据刘星*的名字编的一个名字-呈现怀疑人在2012年仍然掌握传奇私服的架设技术了:
确认钟祥是湖北荆州下辖的一个县级市:
还是之前爆破的那个密码-乐成登录进怀疑人在钟祥论坛的账号-但是悉数操作都映现以下页面-可能是账号被论坛封了-如图:
经由过程搜罗QQ号-还呈现怀疑人之前还注册过一个域名:www.yaoqi**.com:
此域名之前就是一个私服站:
查找这个域名的信息-呈现QQ号-电话号码为:138*****337:
查询电话号码归属地-呈现电话号码是湖北荆门的-该当是怀疑人的电话号码:
如何行使手机号获得更多的信息呢?支拨宝其实是个不错的渠道-查找手机号-呈现手机号绑定了多个支拨宝账户-第一个支拨宝账户的名字和怀疑人的名字?合-第四个支拨宝的名字固然打星了-但是没关系料想很可能是女伴的名字-叫*琳-更进一步知道静态域名账号的含义:zl [*琳] ai [爱] lxc[刘星*]:
掀开第一账号-找到怀疑人的照片-挺帅一个小伙子-干点端庄事多好:
再次查询www.yaoqi**.com域名的whois信息-呈现域名的悉数者为liu xing**** liu:
对联系人实行反查-还呈现了另外一个域名 www.lproposing**.net:
Google搜罗了一下yaoqi**.com-呈现这个私服站可能被挂过博彩的黑页-如图:
一些总结
我们而今看到的整个事情线:
1、攻击者在私服搭建者用到的工具中捆绑远控木马-将工具共享扩展进来-守候其他的私服架设者下载使用-这种净化工具源的攻击方式与Xcode后门事情相通。你看果然。
2、攻击者刻舟求剑守候使用后门架站工具的私服上线-实行负责。私服。
3、攻击者在自身的私服登陆器更新的同时向私服玩家推送木马。焚天中变传奇刷元宝。
4、攻击者窜改被控私服的客户端登陆器-捆绑上木马-守候他们的私服玩家中招。其实烈焰无限元宝服 中变。
如下图所示:
网络是一个魔鬼出没的世界-私服挺象一片沼泽-灰色地带可能荫藏着更多的魔鬼-有光阴你真的不知道是你在玩游戏还是游戏在玩你。看看都是。
广告时间
好讯息是360天眼实验室还在招人-歹意代码理解方向-要求结壮的二进制逆向理解功底-有各种歹意代码的治理阅历更好。在360的海量样本及各类数据帮助下-你能见识到其他地址底子没时机触及的东西-接待一起来玩。传奇回收刷元宝漏洞。
好几个
