İnternet kafeleri kasıp kavuran yeni tür kumar kara mülk saldırıları: LOL bahisleri satranç ve kart soygununu azaltıyor
Arka plan açıklaması
Herkes trafiği yönlendirmek için kitlesel reklamcılık için QQ alanını görmüş olmalı, ancak basitçe yayınlamanın ve reklamı yönlendirmenin faydalarından memnun görünmüyorlar.
Son zamanlarda, uyuşturucu tiranın "rüzgar avı" tehdit algılama sistemi, çevrimiçi satranç ve kart oyunlarını hackleyen ve trafiği boşaltmak için League of Legends istemcisine bahis reklamları gönderebilen bir Truva atını izledi. Önceki kart hackleyen Truva atlarından farklı olarak, geçmiş kart hackleme Truva atları genellikle taklitçi istemcisini üst sıralara taşımak için Baidu SEO optimizasyonunu veya teklif sıralamalarını kullanır ve böylece kullanıcıları indirmeye çeker. Bu sefer bilgisayar korsanlığı truva atı normal olanı değiştirdi ve seçti 1378, montaj numarası, Chenlong Games, vb. Gibi normal masa oyunu üreticilerini kuran yerel müşterileri kurcalamak için girişimde bulunun, güvenlik mesajı istemlerini yakalayın ve sonunda hesap parolalarını ve oyun paralarını çalın.
League of Legends istemcisine reklam gönderen Truva atına gelince, bu ilk keşfediliyor. Truva atı yazarı, League of Legends istemcisinin yerel mesajıyla gönderilen API'yi çağırır.Bir oyun bittiğinde ve kayıt görüntülendiğinde, bir bahis grubu reklamı gönderir veya Bağlantılar, mesajların filtrelenmesini ve engellenmesini önlemek için homofon ikameleri, filtrelemeyi ve kesmeyi atlamak için de kullanılır.
İlgili aktarım örneklerinin analizine göre, örneğin kaynağının İnternet cafe ortamından geldiğine inanıyoruz Analiz süresi boyunca virüsün eklentisinin işlevi de günlük olarak güncelleniyor ve tek bir varyantın bulaşma hacmi 3W + 'ya ulaşıyor.
teknik Analiz
Virüsün ana operasyon süreci şu şekildedir:
Virüs çalıştıktan sonra, önce kendisini system32 altında rastgele adlandırılmış bir klasöre kopyalar ve ardından kendisini bir sistem dosyası olarak yeniden adlandırır. Gizlenecek dosya adlarının listesi aşağıdaki gibidir:
Ardından, sunucusundan şifreli bir görüntü dosyası indirmeye devam edin, dosyanın şifresi başka bir URL bağlantısına çözülür Bağlantı aynı zamanda şifrelenmiş bir resim dosyasına işaret eder.Resim dosyasının şifresini tekrar çözdükten sonra, bunun bir DLL dosyası olduğu anlaşılır.DLL dosyasının ana işlevi, diğer iki Truva atı dosyasını indirmektir: League of Legends reklam Truva atı ve satranç ve kart oyunu korsan Truva atı. Aşağıdaki belirli bir analizdir:
Trojan 1: League of Legends Reklam Truva Atı
Virüs yazarı, güvenlik analistlerinin kaynağı izlemesini ve gerçek kimliklerini izlemesini önlemek için Truva atını önceden genel görüntü sunucularına (Sina, Baidu, Netease) yükledi.Görüntüleri yüklemek ve yerleştirmek için kullanılan sunucular şu şekildedir:
Fakat aslında Sina resimleri dış linklerini kullanan linkler için kaynağa kadar izlenebilir.Örneğin yukarıdaki resimde kullanılan Sina resim linki yükleyicinin bilgileri şu şekildedir:
İlk yükleme tarihine bakıldığında, bu Truva atı Eylül 2018'den beri etkindir:
İndirilen dosya aynı zamanda gizlenmiş bir şifrelenmiş resim dosyasıdır.Şifresini çözdükten sonra hala bir DLL dosyasıdır ve bu DLL son Truva atı dosyasıdır. Virüs, c: \ sdlfkjsldjfsldkfjs.txt dosyasını bir anahtar etiketi dosyası olarak kullanır.Dosya mevcutsa, sonraki işlem yapılmaz.Dll dosyası iki ek PE dosyası içerir: CURL kitaplık dosyası ve bir tane de LeagueClient.exe işlemine enjekte etmek için. belge. DLL dosyası yüklendikten ve çalıştırıldıktan sonra, önce 3 iş parçacığı oluşturulacaktır:
Birinci konu
Veriler istatistik sunucusuna rapor edilir: bu web sitesinin arka planı pagoda panelidir:
İplik iki
League of Legends istemcisi için enjeksiyon işlemini gerçekleştirin ve kendisi tarafından bırakılan bir PE dosyasını, esas olarak auth-token değerini ve uygulama-port değerini elde etmek için LeagueClient.exe'ye enjekte edin ve ardından elde edilen değeri C: \ a'da saklayın. Dat içinde, mesajı göndermek için bağlantının müteakip yapımı için kullanılır:
Üçüncü iplik
Elde edilen yetkilendirme belirteci değerine ve uygulama bağlantı noktası değerine göre ilgili mesaj gönderme bağlantısını oluşturun ve ardından ilgili reklam bilgisini bahis reklamının gönderimini tamamlamak için gönderin:
Bununla birlikte, ilgili hizmet bağlantılarının geçersiz kılınması nedeniyle ( karşılık gelen reklam bilgileri yapılandırma verileri geçici olarak elde edilmemiştir, ancak sözlük bilgileri ve çevrimiçi ilgili bilgiler, Truva Atı'nda yerleşik bir anahtar sözcüğe göre değiştirilir. Geri bildirime göre, aynı tip Truva atı olduğu tahmin ediliyor, bahis türü reklamlar gönderiyor:
Virüs, League of Legends istemcisine kumar reklamları göndermenin yanı sıra, ClientKey değerini çalmak için QQ'nun hızlı girişini de kullanacak ve ardından, uzay konuşmasına düzenli konuşma ve reklam gönderme:
Trojan 2: Satranç ve kart oyunu korsanlığı Truva atı
Kart oyunu hackleyen Truva atı eklentisi esas olarak aşağıdaki 4 oyunu hedefler:
Truva Atı, yukarıdaki 4 oyun penceresini tespit ederek oyunun ana sürecini bulur ve ardından uzaktaki iş parçacığı aracılığıyla bilgisayar korsanlığı DLL modülünü enjekte eder, belirtilen işlevi takar ve kullanıcı oyun odasına girip çıktığında hesap bilgilerini alır ve yükler, oyun paralarını yatırır ve çeker ve hesap şifresini değiştirir.
Örnek olarak "1378 Game Center" hackleme Truva Atı'nı ele alalım. Algılama penceresi başlığı "1378GameCenter" olduğunda, DLL'yi C: \ Windows \ Temp \% d.dll'ye bırakacak ve oyun sürecine enjekte edecektir.
Bilgisayar korsanlığı yapan DLL modülü oyun sürecine yüklendikten sonra, oyunun dahili mesajlarını kesmek için oyunla ilgili işlevleri bağlar. Kullanıcı oturum açtığında, odaya girdiğinde, para yatırdığında ve çektiğinde, bağlayıp bağladığında ve parolayı değiştirdiğinde, kullanıcının hesap parolası, banka parolası, oyun para birimi ve diğer veriler alınır ve şifrelenerek sunucuya yüklenir.
Hook kodu, birden çok DLL'deki işlevler için kanca kodu aşağıdaki gibidir:
Toplamda 5 kanca işlevi vardır:
Kanca işlevi 1: Normal oyun mesajlarını yakalayın ve ayrı ayrı işleyin:
Bu kanca işlevi, kullanıcının oyunda oturum açması, bankayı açması, oyun parasını yatırması ve geri çekmesi, oyun odasına girmesi, bağlanması ve çıkarılması vb. Davranışlarını kaydeder ve kullanıcı hesabı bilgilerini, parolayı, oyun para birimini vb. Uzak sunucuya bildirir.
Bildirilen verilerin formatı aşağıdaki gibidir:
Pr_ID =% d, Pr_Mark =% d, Pr_Money =% d, Pr_Name =% s, Pr_Msg = oyuna giriş, Pr_Ver = 03-11, Pr_ID =% d, Pr_Accunot =% s, Pr_Accunot_Key =% s, Pr_Code =% s, Pr_ID =% d, Pr_Common =% s, Pr_MAC =% s, Pr_ChoiceLongin =% d, Pr_ID =% d, Çevrimiçi = 12345,Bunlar arasında, oyunda oturum açma, odaya girme ve parolayı değiştirme gibi üç işlem için, kullanıcının makine kodu Pr_MAC elde edilecek ve numarayı uzaktan çözmek ve yıkamak için rapor edilecektir. Hesap uzaktan oturum açıldığında, kullanıcının hesabın çalındığını keşfetmesini önlemek için yerel uyarı mesajının yerini alacaktır:
Kanca işlevi 2: Kullanıcı tarafından girilen odanın adını bildirin: Pr_ID =% d, Pr_Room = oda adı,
Kanca işlevi 3: Kullanıcı odadan çıktığında rapor edin: Pr_ID =% d, Pr_Msg = Odadan çık,
Kanca işlevi 4: Kullanıcı odadan çıktığında \ oyundan çıktığında \ hesap değiştir
Kanca işlevi 5: puan çalma (çalınan oyun para birimi)
Oyunun dahili işlevinin oyun para biriminin çalınmasını tamamlamak için çağrıldığından ve çağrı geçici olarak tetiklenemediğinden şüpheleniliyor.
Raporlama biçimi:
Pr_ID =% d, Pr_Money =% d, Pr_Toal =% d, Pr_Bank_Money =% d, Pr_Steal_Bank =% d, Pr_Msg = Çalıntı puanRapor işlevi, toplanan kullanıcı oyun hesabı bilgilerini yükler ve her 30 saniyede bir kalp atışı paketi gönderir. Bildirilen veriler, rc4 ve base64 kodlu şifrelenir ve 129.211.126.131/index.jsp?Act=UpdateData=%s bağlantısına gönderilir.
Aşağıdakiler, virüs yazar sunucusunda toplanan hesap bilgileridir:
Ayrıca www.hjhmc.com virüs raporlama istatistikleri sunucusudur, günlük bulaşma hacmi istatistiklerini görebilirsiniz, aşağıdaki kanallardan birinin enfeksiyon raporlama verileri:
Ek IOC
MD5:
32abecf1d0e8e12f196dcf4e49d1bd92 f658d68f85a192e9839d5ddc7c526aec 06b26b1db9eb41a6b2d13b1a83acc9b2 f447d59a958733a5de72fe20beebb4a2 c0511a18f46de23819edfbeccff0513b 6d98c1dfa61f304a9222c795329a44c86e9eb752f1fdf2814d82fff29bf258505e3a3c1dbe6a4b39a6cd146380b452dc 31558c5ff2dbd2d57159a804c770821b fa2fd16e6db11c3ae0e92a9f85c7fcb2URL:
https://weibo.com/u/6727188567* Yazar: Safety leopard, FreeBuf.COM'dan yeniden basılmıştır.
