Teknik Analiz: Çevrimiçi Satranç ve Kart Oyunlarının Truva Atı "Montaj Numarası"
0x00 Genel Bakış
Jiehao Oyun Merkezi, Landlord Fighting, Three Kingdoms Horse Racing, Hong Kong tarzı Five Cards, Fighting Bulls, Fishing Experts gibi yüzden fazla popüler rekabetçi gündelik oyunu içeren popüler bir satranç ve kart oyunu platformudur. 360 İnternet Güvenlik Merkezi, yakın zamanda oyun platformunu gizleyen çok sayıda sahte yükleme paketi yakaladı. Bu yükleme paketleri Truva atı virüsleriyle önceden yüklenmiştir ve virüsten koruma yazılımının algılanması ve öldürülmesi ile mücadele etmek için çeşitli teknik yöntemler kullanır. Bu makale, kanallarını ve karşı önlemlerini tanıtacaktır. Ve kapsamlı bir analiz için Truva atı davranışı.
0x01 Promosyon kanalları
"Montaj Numarası Oyun Merkezi" olarak gizlenen Truva atlarının yayılma yöntemi şu şekilde özetlenebilir:
Analiz süreci sırasında, test uzmanları, "Jiji Game Center" arama sonuçlarının yalnızca ilk sayfasının birden fazla Truva atı bağlantısına sahip olmadığını, "Jiji Game Center" gibi benzer anahtar kelimeleri aramanın bile kandırılacağını buldu. Sayfaya girmek için bağlantıya tıklayın, sahte sayfanın resmi web sitesiyle (www.jjhgame.com) hemen hemen aynı olduğunu ve bazı alan adlarının da resmi web sitesine oldukça benzediğini göreceksiniz, örneğin www.jjhgwame.com, www.jjhgtame.com, www.jjgqne.com, vb. . Truva atının onu tanıtmak için çok para harcadığı görülebilir. Aşağıdaki Şekil 1'de gösterildiği gibi:
Yukarıdaki şekilde ikinci arama sonucunu www.jjhgqne.com tıklayın, sayfa jjhgames.jjhgqne.com:81'e yönlendirilir, aşağıdaki şekil 2'ye bakın, yönlendirme sayfası bir kimlik avı sayfasıdır, resmi web sitesiyle tamamen aynı stilde (bkz. Şekil 3 ), ancak sayfadaki bağlantıların tümü kendisine işaret ediyor (href = '#'), yalnızca İnternet kafe sürümü ve basitleştirilmiş sürüm düğmesi, indirilecek yeniden paketlenmiş Truva atı yükleme paketini işaret ediyor
Aynı zamanda montaj numarası oyununun resmi web sitesinde, oyun yetkilisinin de son zamanlarda Baidu aramasında çok sayıda yanlış sayfa açtığı tespit edildi.Kullanıcıların aldatılmayı önlemek için resmi web sitesi adresi 'u tanımaları önerilir. Aşağıdaki Şekil 3'te gösterildiği gibi:
Test, Truva atı yazarları tarafından kaydedilen kimlik avı sayfalarının içeriğinin hemen hemen aynı olduğunu ve yeniden paketlenen yükleme paketindeki Truva atı beyazlatma teknolojisinin de benzer olduğunu ortaya çıkardı.Tüm phishing sayfalarının aynı yazara ait olduğu tahmin ediliyor. Yazar, resmi web sitesi jjhgame'e benzer çok sayıda alan adı kaydetti ve Truva atlarını yaymak ve tanıtmak için aynı sayfaları taklit etti.
0x02 Karışıklık ve yüzleşme
Daha sonra, karşılaştırmalı analiz için resmi kurulum paketini ve birden fazla Truva atı kurulum paketini indiriyoruz. Analiz sonucunda, Truva atı yazarının, anti-virüs yazılımının tespit edilmesinden ve öldürülmesinden kaçınmaya çalışarak, farklı kurulum paketlerinde çeşitli yöntemler kullandığını gördük. anlamına geliyor:
Aşağıdaki Şekil 7'de gösterildiği gibi, orijinal yükleme paketindeki 1 Hijack Download.dll dosyasını, orijinal Download.dll dosyasını game.dll adına değiştirin ve game.dll dosyasını kötü amaçlı Download.dll dosyasını yeniden yükleyin:
Dosya tarihinden de görülebileceği gibi, Download.dll 27 Temmuz 2015 tarihinde oluşturuldu ve bu, Truva atı yazarının hala aktif olduğunu gösteriyor. Truva atı dosyası Download.dll, game.dll ile aynı CreateDownloadService işlevini dışa aktarır.Bu DLL işlevi, GamePlaza.exe'de yüklenecek ve çağrılacaktır; Şekil 8, Download.dll kaçırma tekniğini gösterir:
2 Yeni bir içe aktarma girişi Gamejjh.dll eklemek için StudyPE'yi kullanın.Bu şekilde, StudyPE PE yapısına yeni bir .newimp bölümü ekleyecek, gerekli DLL'yi ve onun işlev dizelerini buna yazacak ve ilgili içe aktarmayı IAT tablosuna ekleyecektir. Tablo girişi. Orijinal GamePlaza.exe, Gamejjh.dll dosyasını içe aktarmadı. Aşağıdaki Şekil 9 ve Şekil 10, değiştirilmiş GamePlaza.exe ana programını göstermektedir:
3 ComService.dll, Satır İçi Kanca DllEntryPoint işlevini değiştirin, işlev girişi JMP'yi DLL'nin (false msvcrt8.dll) yüklendiği TEXT bölümünün sonuna zorlar.
Aşağıdaki Şekil 11, Truva Atı'nın kötü niyetli koduna zorla atladığı bir ekran görüntüsünü göstermektedir:
4 Orijinal GameUpdate.exe, AutoUpdate.exe, login.ini dosyaları ve orijinal Yama oyun merkezinin yükseltme yolunu biraz değiştirerek öldürmeye karşı savaşın. Login.ini dosyası içeriğinin orijinal resmi sürümü Şekil 12'de gösterildiği gibidir:
Yeniden paketlemeden sonra Truva atı yükleme paketindeki login.ini dosyası Şekil 13'te gösterilmektedir:
Analiz sonucunda, UpdateIp alanının orijinal GameUpdate ve AutoUpdate programlarında kullanılacağı bulundu.Bir yandan, Truva atı GameUpdate'teki UpdateIp'e olan referansı normal çalışmasını sağlamak için UphostIp'e değiştirdi.Öte yandan Nop, Sessiz hale getirmek için Otomatik Güncelleştirme'deki MessageBox işlevini bıraktı. Update.iiibbbvv.com:81 Truva atı yükleme paketi yükseltmesini indirin.
Yukarıdaki dört yönteme ek olarak, test aynı zamanda çok sayıda başka yöntem de buldu, yöntem zip.dll dosyası IAT tablosunu değiştirmek, d3dx9_53.dll enjekte etmek; NetWorkService.dll dosyasını ele geçirmek vb. Gibi yukarıdakine benzer.
0x03 Truva atı analizi
1 Download.dll korsanlığı Truva atı
Truva atı, montaj numarasının oyun merkezindeki normal Download.dll programını ele geçirerek başlatıldı.Orijinal dosya 284KB ve virüs programı 309KB idi. DLL başlatıldıktan sonra, common.dll dosyasını yükler ve ifconfig işlevini çağırır, ardından GamePlaza.exe ve PropertyModule.dll'den özel bayt dizelerini arar ve hesap ve parola işleme işlevlerini kancalar. Program kodu aşağıdaki Şekil 14'te gösterilmektedir:
Aşağıdaki ekran görüntüleri kanca hesap girişi sürecini gösterir:
1) Truva Atı, 0x401000 adres alanından 0FB6D085D27422C7 karakteristik dizesini aramaya başlar, ilgili adresi bulur ve kaydeder; aşağıdaki Şekil 15'e bakın:
2) Önceki adımda aranan adresin koduna karşılık gelen kanca, giriş hesabını aldıktan sonra, Truva atının kendi işlevini çağırır ve bu, hesabı dahili olarak Truva atı yazar sunucusuna gönderir; Şekil 16'da gösterildiği gibi.
Karşılık gelen bayt dizesini arayın ve aşağıdaki şekilde gösterildiği gibi GamePlaza.exe'de karşılık gelen konumu bulun Bunun GamePlaza hesabı oturum açma işleme işlevi olduğu görülebilir: Şekil 17'de gösterildiği gibi.
2 Common.dll arka kapısı
Bu DLL dosyasını saldırıya uğramış Download.dll'ye yükleyin ve ifconfig işlevini çağırın; bu program, yapılandırma bilgilerini buluttan alan, yerel bağlantı noktalarını izleyen, hizmetleri kaydeden, otomatik başlatmayı ekleyen, virüsten koruma yazılımını algılayan, Gh0st tarafından yeniden yazılmış bir arka kapı programıdır;
0x04 diğer bilgiler
Analize göre, bu sahte oyun merkezi kimlik avı web sitelerinin tümü, alan adı kaydı için sık sık değişen ve pratik bir önemi olmayan yanlış kişisel bilgiler kullanıyor. Araştırma, montaj numarası oyun platformuna saldırı başlatmanın yanı sıra, virüs-truva atı çetelerinin de Chenlong Game Center ve 906 Game Center gibi pazardaki çeşitli oyun merkezlerine saldırmak için benzer yöntemler kullandığını buldu. Ek olarak, Phoenix oyunu, kılıç ustası sevgisi ve diğer oyun eklentileri gibi çeşitli eklentiler ve araçlar da geliştirecek olan ekip, grubun geliştirdiği çeşitli hackleme ve uzaktan kontrol Truva atlarının da geliştirdiği eklentiler aracılığıyla yayılabileceği tahmin edilebilir.
Şekil 19'da gösterildiği gibi, Baidu'daki Chenlong Game Center'ı tekrar aradık, ilk öğe resmi web sitesi ve ardından üç ardışık kimlik avı sayfasıydı.
Birinci ve ikinci öğelerin aramasından, Truva atı yazarının kullanıcıları aldatmak için benzer alan adlarını (resmi web sitesi cl059.com, phishing web sitesi cl0579.zj, cl0559.aliapp) kaydetmek için hala eski yöntemi kullandığı ve sahte sayfanın resmi web sitesiyle tamamen aynı olduğu açıktır.
0x05 önleyici tedbirler
Çevrimiçi satranç ve kartlar gibi sıradan oyunlar için, resmi oyun nakit işlemlere izin vermese de, üçüncü taraf işlem yöntemleri aracılığıyla gerçek para birimleri ve oyun içi para birimleri birbirleriyle takas edilebilir. Bu tür oyunların tümü kumar unsurları içerir ve bazıları kendi başına kumar oynar, bu da oyuncuların bunlarla ilgilenmesini kolaylaştırır ve kendilerini kurtaramazlar.Bu nedenle, birçok Truva atı çetesi bu fikri kullanır.
Truva atı yazarları, resmi masa oyunlarına çok benzeyen çok sayıda alan adı satın alır ve bunları, sıradan oyuncular için çok kafa karıştırıcı olan arama teklif sıralamaları aracılığıyla tanıtır. Burada oyunculara tavsiye ediyoruz: Arama sonuçlarına güvenmeyin! Ziyaret etmeden önce resmi web sitesinin alan adını kontrol edin ve kurulum paketini üçüncü taraf bir web sitesinden indirmeyin. Aynı zamanda bilgisayar, güvenlik yazılımını açmaya dikkat etmeli ve bir tehlike uyarısı ile karşılaştığında Truva atını temizlemek için istemleri takip etmelidir.Aksi takdirde, sadece oyun hesabının güvenliğine zarar vermekle kalmaz, bilgisayar tamamen suçlular tarafından kontrol edilerek daha ciddi sonuçlar doğurabilir.
Orijinal makale, yazar: Drops , Yeniden basıldı:
