黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

2022年03月28日 01:03:00

平凡黑客,酷玩游戏盒子伪造着名公司数字签名,流传Steam盗号木马

       

Windows 0day内核特权提升 (CVE-2018-8611) 漏洞预警

近日,腾讯御见威胁情报中心监控酷玩游戏盒、桌面助手、玩游戏等软件流传Steam盗号木马已经熏染了5万台电脑。软件运行后,将首先下载并伪装成WPS下载并安装独狼病毒Rootkit病毒最终通过营销推广和恶意推广更多软件盈利。病毒还伪造了著名公司的数字签名。            

   0x1 概述    

   

   腾讯御见威胁情报中心近期监控酷玩游戏盒、桌面助手,玩玩游戏等软件流传Steam盗号木马,木马累计熏染跨越5万台电脑。软件运行后,将首先下载并伪装成WPS然后下载并安装独狼病毒Rootkit病毒,最后进行营销推广,恶意推广更多软件盈利。

   

   可追溯性分析还发现生产独狼”Rootkit木马的作者涉嫌伪造北京方正阿帕比工艺有限公司的正式数字签名,病毒文件将下载Steam盗号木马,由于病毒程序有正当的数字签名,导致多个杀毒软件未实时查杀,这是病毒熏染的跨越5一万台电脑的原因。    

   

   0x2 详细剖析    

   

   0x2.1 流传渠道    

   

   
       

   

   木马流传流程图    

   

       

   

   酷玩游戏盒    

   

       

   

   
   

   

   桌面助手    

   

       

   

   酷玩游戏盒运行后下载木马wps.exe保存到目录    

   

   %UserProfile%\AppData\Roaming\feitiancb\wps.exe。

   

   “wps.exe”释放Rootkit病毒kcbhgyd.sys到C:\windows\temp\目录,然后kcbhgyd.sys注入explorer.exe下载木马的过程和释放dass.exe。

   

   0x2.2 kcbhgyd.sys(独狼Rootkit模块)

   

   这个模块是独狼Rootkit模块,独狼Rootkit是通过多渠道(激活工具、盗版系统、破解软件、流氓软件)长期分发的Rootkit独狼主要通过以下工艺点和平安软件匹敌家族。    

               

       

   

   2代独狼加密了所有明文字串,增加了核反调试和连接3云控制木马升级流传系统实现环注入。    

               

   独狼2-DownLoader功效代码    

   

       

   

   毒狼2挟制设置    

   

   独狼家族Rootkit详细剖析:    

   

   https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

   

   https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow

   

   而此次独狼Rootkit病毒设置文件的内容是先下载dass222222.exe模块,然后dass222222.exe再下载xls.jpg、doc.jpg、ppt.jpg、wps.jpg并将其注入iexpress.exe执行。    

               

   doc.jpgPE文件    

   

   文件的功效是营销推广    

   

       

   

   wps.jpgPE文件    

   

   文件的功效是下载和推广大象截图    

               

   大象截图安装包    

               

   通过追踪溯源,我们还发现独狼Rootkit另一另一个病毒模块Linking.exe    

   

   0x2.3 署名盗用

   

   Linking.exe木马盗用了一家公司的签名BeijingFounderApabiTechnologyLimited。有了合法的公司签名,木马可以获得系统和防病毒软件的信托,从而增加执行和停留的机会。皇家威胁情报中心发现,在过去的一周里,有300多份木马文件被使用,主要是盗窃木马可以看出,犯罪分子已经批量行使了签名。    

   

   

   

   查询发现,签名所属公司的现实是北京方正阿帕比工艺有限公司”(北大方正信息产业集团有限公司子公司),该公司官网显示公司主要营业为数字出书手艺与服务提供商。    

   

       

   

   通过查看公司提供的下载产品,它们都是根据纯数字阅读相关软件。推测原因可能是该公司的签名被恶意软件传播者盗用,通常有两个来源被盗:    

   

   1.盗窃证书:网络犯罪分子入侵厂家软件发布流程,窃取数字证书。    

   

   2、伪造证书:网络犯罪分子模拟合法制造商信息,向签名认证机构申请数字证书。(可以使用社会工程)    

   

       

   

   木马(左)与正常软件(右)签名对比    

   

   进一步比较发现木马使用的签名出版商是Digicert,公司正常软件的签名发表者是VeriSign (symantec)。统一公司很少向两家不同的认证机构申请认证服务,因此很可能是伪造证书,即木马作者怀疑伪造北京方正阿帕比工艺有限公司公司信息方向Digicert申请数字证书。    

   

   0x2.4 Steam盗号木马    

   

   Linking.exe木马下载steam盗号木马hxxp://208.110.69.100/cj.exe    

   

       

   

   木马通过CreateToolhelp32Snapshot并找到枚举过程steam.exe    

   

       

   

   查找Steam历程窗口    

   

       

   

   然后从资源文件中获取dll文件“HELPER”    

   

       

   

   通过AdjustTokenPrivileges提高当前历程权限    

   

       

   

   然后将Dll文件“HELPER”通过CreateRemoteThread注入到Steam.exe行使注入过程dll偷取用户Steam账号信息。    

   

       

   

   Dll文件“HELPER”通过对比SteamUI.dll模块指定偏移字节码判断版本。    

   

       

   

   设置注册表STEAM不再记住密码    

   

       

   

   然后枚举控件,通过比较名称获得控件ID,窃取用户账号密码    

   

       

   

   平安建议    

   

   1. 网民通过安全可靠的渠道下载软件,不容易信任签名软件。

   

   2、 软件制造商有义务珍惜自己的数字签名安全,发现公司签名受到攻击,建议实时发布公告,或通过官方渠道联系证书出版机构取消非法申请的证书,减少网民损失。    

   

   3. 保持电脑管家打开可以阻止木马。    

               

   电脑管家下载珍爱阻止病毒下载    

               

   电脑管家查杀病毒    

   

       

   

   IOCs    

   

   C2    

   

   222.186.138.30

   

   208.110.69.100

   

   208.110.69.98

   

   69.30.193.66

   

   222.186.57.99

   

   222.186.151.132

   

   69.30.242.182

   

   68.197.191.92

   

   
   

   

   url    

   

   hxxp://208.110.69.100/aa.exe

   

   hxxp://208.110.69.100/15.exe

   

   hxxp://208.110.69.100/x/2.exe

   

   hxxp://208.110.69.100/cj.exe

   

   hxxp://208.110.69.100/x/cj.exe

   

   hxxp://208.110.69.100/x/15.exe

   

   hxxp://208.110.69.100/x/aa.exe

数字软件披合法外衣干违法活动 腾讯电脑管家准确拦截

   

   hxxp://208.110.69.98/k/aa.exe

   

   hxxp://208.110.69.98/k/c0822.exe

   

   hxxp://208.110.69.98/k/cj.exe

   

   hxxp://208.110.69.98/k/x4.exe

   

   hxxp://208.110.69.98/k/safeload.exe

   

   hxxp://208.110.69.98/k/cross.exe

   

   hxxp://208.110.69.98/k/downer.exe

   

   hxxp://208.110.69.98/k/4.exe

   

   hxxp://222.186.138.30:8080/tgp.exe

   

   hxxp://222.186.138.30:8080/2018.exe

   

   hxxp://69.30.193.66/cj.exe

   

   hxxp://69.30.193.66/aa.exe

   

   hxxp://69.30.193.66/91.exe

   

   hxxp://69.30.193.66/15.exe

   

   hxxp://222.186.57.99:8080/wpltbbrp_017.exe

   

   hxxp://222.186.57.99:8181/2018.exe

   

   hxxp://222.186.57.99:8080/aa.exe

   

   hxxp://222.186.57.99:8080/qq.exe

   

   hxxp://222.186.151.132:8181/downer.exe

   

   hxxp://222.186.151.132:8181/c0831.exe

   

   hxxp://222.186.151.132:8181/x/cross.exe

   

   
   

   

       

   

   Md5    

   

       

   

   kuwanbox    

   

   407677efe7fe446f745083d5115325dc

   

   19a0a1f27a847b4fbc1ac284c4d7f3b5

   

   7345a8b41d4b5f7c9d499bcdf7febf17

   

   5d54e06a0574a909b6de45d78e17466f

   

   fc19efb68a038838d52b78407f163de0

   

   04b01246893dd76f11de0375565be837

   

   a560bc3e23ff8eee824468081d78ac83

   

   824f908e35f02be4eb69a8b6bd5ae31a

   

   2080da575310dddd6755e5f15f341b50

   

   ef13884980e57ca4a700da41a00360d7

   

   d554aaaa3f12e940cc87cd37d6fb47a6

   

   71da18a5cd8e594eacd90654a5e0c6b3

   

   1c33de3a9d7402cb3fd32d1dae1e07f5

   

   b97a60ed53d0bfb4020361305c76b9fa

   

   631f970d1bbd4b394632eeef596614b0

   

   6aeb0b95c312cef22b26422216f6790c

   

   19a0a1f27a847b4fbc1ac284c4d7f3b5

   

   
   

   

   feitiancb\wps.exe    

   

   ea20596d44d6ec6af7a70aa7fbc795c0

   

   ec9a3bd06946f2f9a0bd82573161e2db

   

   e74cc28f2227f033116d94952a121d31

   

   6fddc26c19b5b300a7d5903caecc1894

   

   70eb0718710065b45734810feef3e70d

   

   
   

   

   sysload    

   

   86f9d8b955ec9b9a58abf22aae3d6e52

   

   b583c6d1e133410938cfc185baea7945

   

   02e6576ceb871160953326f9c356c598

   

   
   

   

   kcbhgyd.sys    

   

   0cea624e48f20f718198ab7349bb1eea

   

   1e4aba82cd817bc1ac31a1b40bf47ff0

   

   
   

   

   Linking.exe    

   

   ec904aab02306bcd033634ae79fea662

   

   f9f1eaa5d0e862a8074c7c0b8b58942b

   

   419f1f778e1405354fd34e5293edd52d

   

   a170e4886f804cae5f6e48f65fdf993a

   

   cfe79da256441e45195d6f47049cb2a8

   

   8404df7baeeeda75bcc5405ce0854827

   

   6eee39eb31932185272127245d74753e

   

   
   

   

steam盗号    

   

   e86a9f5819582493837850a25c28915e

   

   67e17b91f0ecf87d87f54161bb739a34

   

   f4d8efa9d91e4e4bd7be7ff763f7513e

   

   11bb3bd3f9534a23f6272725392fe757

   

   95ee69e46fed5ea4c2975911aa53e9dd

   

   07525127c44acb02f75452b44c176204

   

   a7eb17ec342b93574b805fcc95696b2d

   

   e86a9f5819582493837850a25c28915e

   

   
   

   

   参考资料    

   

   独狼家族Rootkit详细剖析:    

   

   https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ    

   

   https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow    

一匹木马爆发,它利用生命升级通道和高风险漏洞传播,2小时感染10万台电脑

   

标签:黑客接单 

作者:访客 , 分类:黑客服务 , 浏览:566 , 评论:3

  • 评论列表:
  •  依疚千鲤
     发布于 2022-05-29 16:17:20  回复该评论
  • 5hmS-HOow        而此次独狼Rootkit病毒设置文件的内容是先下载dass222222.exe模块,然后dass222222.exe再下载xls.jpg、doc.jpg、ppt.jpg、wps.jpg并将其注入iexpress.exe执行。      
  •  听弧寄认
     发布于 2022-05-29 16:11:37  回复该评论
  • 怀疑伪造“北京方正阿帕比工艺有限公司”公司信息方向Digicert申请数字证书。            0x2.4 Steam盗号木马            Linking.exe木马下载steam盗号木马hxxp://208.110.69.100/cj.ex
  •  依疚杞胭
     发布于 2022-05-29 06:06:26  回复该评论
  •          https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ        https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow      

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.