欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“天鼠”系列盗号木马分析报告

来源:本站整理 作者:佚名 时间:2019-04-23 TAG: 我要投稿

前言
近期,360核心安全团队发现了一个作案时间长达7年之久的盗号团伙,该团伙捆绑了多种游戏外挂软件植入盗号木马,盗取包括聊天工具、Steam游戏、棋牌游戏等数十款客户端的账号密码,并通过倒卖这些账户最终获利。追踪过程中发现,作案团伙使用的盗号后台均以“天龙”、“天马”等命名,结合其偷窃游戏账号的性质,故本次报告将该盗号木马集合标记为“天鼠”系列。

作案情况
以下是作案团伙的其中一份盗号清单,捆绑的木马程序实时监控用户机器上运行的37种客户端程序,其中包括QQ、YY两款聊天工具,LOL、DNF等多款大型网络游戏,以及斗地主、亲朋等棋牌类游戏,然后从远程服务器下载对应的盗号程序来进行账户密码的窃取。

根据盗号数据库的创建日期看,至少从2012年3月份开始,该作案团伙就已经着手进行盗号窃取工作,如下为其中一张密保资料(“mibaozl”)表的部分字段。

该作案团伙每天盗取的账号数量“颇为可观”,如下为近期被盗取的部分DNF游戏账号。

经过追踪调查,发现作案团伙实时监测盗取的账号数据,每隔一段时间就会登录服务器收取一批最近盗取的账号并销毁数据记录,如下为作案团伙使用的其中一个数据监测后台。

从截获到作案团伙的一些备忘录上看,该团伙对各个目标客户端会有不同的监测后台和销售渠道,比如其中某款棋牌游戏的账号标价可能为30元一个,结合该团伙的目标种类数目和每天盗取的账号数量,可以说用“日进斗金”来描述其黑色收益的产出再适合不过了。

案例分析
通过360安全大脑追查后发现,该作案团伙捆绑了大量不同类型的游戏辅助外挂程序来传播盗号木马,本节以“生死狙击刷金币1.0”为例来分析具体的盗号流程,该软件被作案团伙挂到网上各大下载站,并且早在2016年份就开始传播。(软件的制作时间是2015年)

用户下载外挂软件后运行,可以看见正常的外挂功能界面,但是捆绑的木马线程却已经在后台偷偷地运行起来。

木马线程通过内置的FTP账号密码从远程服务器“www.yitongcom.com:21”拉取一个木马分发器“help.exe”,由该分发器再负责监控用户机器的客户端程序并下载对应的盗号或远控模块来执行恶意工作。

木马分发器“help.exe”内置了一张监测列表,通过检查进程列表来执行对应模块的下载动作,比如当用户启动QQ时就会下载对应的QQ盗号木马模块运行。另外,正常系统均会存在“csrss.exe”系统进程,所以该分发器至少会从远程下载“bin6/csrss.exe”模块运行,而该模块实际上是个远程控制模块,用来直接控制用户电脑。

这些恶意的工作模块下载后被重命名为“360sys**.exe”(其中**为随机数字),限于文章篇幅这里仅简单介绍2类盗号模块的工作流程。
QQ盗号过程
QQ的盗号过程比较简单,核心方法就是通过弹出一个仿冒的登录窗口来欺骗用户输入账号密码。首先盗号模块循环遍历进程列表来检测QQ进程是否存在:

若发现QQ已登录,则直接运行kill命令退出该进程,或者用户刚启动QQ的时候直接终止进程。

当然,强制退出QQ进程后,木马模块马上通过内置的登录框资源画出一个仿冒的登录窗口,该窗口是根据真实的历史版本QQ登录界面高仿出来的,用户可能难以辨识真假输入自己的账号密码上当受骗。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载