「天鼠」系列盜號木馬分析報告

前言

近期,360核心安全團隊發現了一個作案時間長達7年之久的盜號團伙,該團伙捆綁了多種遊戲外掛軟體植入盜號木馬,盜取包括聊天工具、Steam遊戲、棋牌遊戲等數十款客戶端的賬號密碼,並通過倒賣這些賬戶最終獲利。追蹤過程中發現,作案團伙使用的盜號後台均以「天龍」、「天馬」等命名,結合其偷竊遊戲賬號的性質,故本次報告將該盜號木馬集合標記為「天鼠」系列。

作案情況

以下是作案團伙的其中一份盜號清單,捆綁的木馬程序實時監控用戶機器上運行的37種客戶端程序,其中包括QQ、YY兩款聊天工具,LOL、DNF等多款大型網路遊戲,以及鬥地主、親朋等棋牌類遊戲,然後從遠程伺服器下載對應的盜號程序來進行賬戶密碼的竊取。

根據盜號資料庫的創建日期看,至少從2012年3月份開始,該作案團伙就已經著手進行盜號竊取工作,如下為其中一張密保資料(「mibaozl」)表的部分欄位。

該作案團伙每天盜取的賬號數量「頗為可觀」,如下為近期被盜取的部分DNF遊戲賬號。

經過追蹤調查,發現作案團伙實時監測盜取的賬號數據,每隔一段時間就會登錄伺服器收取一批最近盜取的賬號並銷毀數據記錄,如下為作案團伙使用的其中一個數據監測後台。

從截獲到作案團伙的一些備忘錄上看,該團伙對各個目標客戶端會有不同的監測後台和銷售渠道,比如其中某款棋牌遊戲的賬號標價可能為30元一個,結合該團伙的目標種類數目和每天盜取的賬號數量,可以說用「日進斗金」來描述其黑色收益的產出再適合不過了。

案例分析

通過360安全大腦追查後發現,該作案團伙捆綁了大量不同類型的遊戲輔助外掛程序來傳播盜號木馬,本節以「生死狙擊刷金幣1.0」為例來分析具體的盜號流程,該軟體被作案團伙掛到網上各大下載站,並且早在2016年份就開始傳播。(軟體的製作時間是2015年)

用戶下載外掛軟體後運行,可以看見正常的外掛功能界面,但是捆綁的木馬線程卻已經在後台偷偷地運行起來。

木馬線程通過內置的FTP賬號密碼從遠程伺服器「www.yitongcom.com:21」拉取一個木馬分發器「help.exe」,由該分發器再負責監控用戶機器的客戶端程序並下載對應的盜號或遠控模塊來執行惡意工作。

木馬分發器「help.exe」內置了一張監測列表,通過檢查進程列表來執行對應模塊的下載動作,比如當用戶啟動QQ時就會下載對應的QQ盜號木馬模塊運行。另外,正常系統均會存在「csrss.exe」系統進程,所以該分發器至少會從遠程下載「bin6/csrss.exe」模塊運行,而該模塊實際上是個遠程控制模塊,用來直接控制用戶電腦。

這些惡意的工作模塊下載後被重命名為「360sys**.exe」(其中**為隨機數字),限於文章篇幅這裡僅簡單介紹2類盜號模塊的工作流程。

QQ盜號過程

QQ的盜號過程比較簡單,核心方法就是通過彈出一個仿冒的登錄窗口來欺騙用戶輸入賬號密碼。首先盜號模塊循環遍歷進程列表來檢測QQ進程是否存在:

若發現QQ已登錄,則直接運行kill命令退出該進程,或者用戶剛啟動QQ的時候直接終止進程。

當然,強制退出QQ進程後,木馬模塊馬上通過內置的登錄框資源畫出一個仿冒的登錄窗口,該窗口是根據真實的歷史版本QQ登錄界面高仿出來的,用戶可能難以辨識真假輸入自己的賬號密碼上當受騙。

此外,在盜號模塊的資源中還發現了QQ異常登錄的圖片,但實際上目前並沒有使用,推測後續可能該團伙會在強制退出已登錄QQ的欺騙流程上再做完善。

一旦用戶受騙上當,輸入自己的賬戶密碼試圖登錄,盜號模塊就成功截獲賬號並回傳伺服器,之後再啟動「真的」QQ進行登錄。

DNF盜號過程

DNF遊戲盜號模塊的流程稍微複雜一些,不過最終使用的盜號方式其核心原理也是仿冒DNF遊戲的登錄界面欺騙用戶輸入賬號密碼。分析過程發現,該模塊載入方式較為繁瑣,目的是為了躲避安全檢查,聯網從「hxxp://115.231.220.57:8005/xia/tm.css」下載真正的盜號代碼並創建傀儡進程來運行,具體的步驟這裡就不再詳述,直接進入盜號代碼分析盜號過程。首先,依然是遍歷進程列表檢查DNF遊戲是否運行,若存在則直接將其強制退出,然後從騰訊官方下載一些真實的圖片資源備用。

接著,針對使用單獨的DNF遊戲客戶端和騰訊遊戲平台兩種登錄方式分別創建了1個線程進行竊取。對於獨立客戶端登錄程序,先強制退出相關的輔助進程後,再檢查該客戶端程序是否存在以進行下一步流程。

下一步的流程其實也是依葫蘆畫瓢,把人家的程序退出後就自己畫出仿冒的遊戲登錄窗口以假亂真,誘騙遊戲用戶輸入賬號密碼。

然而實際上最新版的官方DNF遊戲登錄界面如下:

當受騙用戶在仿冒的登錄界面輸好賬號密碼準備登錄遊戲後,盜號代碼則一邊假正經的提示用戶正在登錄,另一邊則偷偷將盜取的賬號密碼往自己的伺服器回傳,等盜竊任務完成後,再給用戶彈出個「善意的謊言」。

盜號木馬模塊將用戶賬號密碼偷偷回傳:

最後當用戶點擊虛假提示信息里的「確定」按鈕,木馬模塊就幫用戶重新啟動了一下正版的DNF遊戲進行登錄,功成身退。

傳播溯源

通過360安全大腦的監測,發現該系列盜號木馬主要是以捆綁遊戲外掛的形式進行傳播,從這點也能看出作案團伙的主要目標群體是網路遊戲玩家,針對他們的遊戲賬號進行盜竊。以下僅列出部分被捆綁過該系列盜號木馬的遊戲外掛程序。

進一步追蹤發現,這些各式各樣的外掛輔助程序被上傳到網上進行大量傳播,作案團伙在各類知名或不知名的軟體下載站、網盤中進行廣撒網,大大增加遊戲玩家下載運行盜號木馬的機會,以下為部分被淪陷成為該團伙作案溫床的下載網站列表。

根據360安全大腦的監測,該系列木馬持續作案,經常更新換代,不僅盜號模塊和捆綁的載體外掛程序會經常替換,而且盜號使用的伺服器也是不斷更新和拓展。但是由於傳播網路早已建立,該作案團伙每天都能輕鬆保證足夠的活躍度來支撐其黑色收益,如下僅以上述提及的盜號伺服器為例反映最近一個月來的木馬活躍情況。

總結

本系列盜號木馬有傳播範圍廣、持續時間長和作案經驗老道等特點,360核心安全團隊對其進行了深度的追蹤和獨家的披露,並藉助360安全大腦展開全面的查殺和防禦。對於廣大的網路遊戲玩家,建議使用最新的360安全衛士對電腦進行安全防護,不要輕易下載來歷不明的外掛軟體,提高自我安全意識並養成定期更換賬號密碼的良好習慣。

附錄


推薦閱讀:
相关文章