网络小黑揭秘系列之私服牧马人

华盟原创文章投稿奖励计划

  对安全研究者来说,一次次的扒皮往往都是从一个最简单的线索开始,比如一个IP、域名或程序样本。这回的也不例外,引起我们注意的是一个程序样本,名为“仙侠迷失之横扫千军.exe”。嗯,看起来是个游戏程序,执行起来也是:

  网络小黑揭秘系列之私服牧马人

  不过有点不对劲,开玩游戏的同时竟然触发了我们基于网络的木马检测告警,使用了Gh0st/大灰狼的通信协议结构。其实,绑了木马的应用程序并不鲜见,前一阵子沸沸扬扬的Xcode后门事件就是这个套路,让我们看看这回的私货怎么样。

  样本分析

  搞清楚样本的行为并不困难,攻击者用捆绑器在应用中植入了大灰狼远控木马,样本执行以后一系列的动作基本如下图所示:

  网络小黑揭秘系列之私服牧马人

  每一个涉及到的样本的细节剖析如下,供同行们参考。

  样本A

  MD5:d28e9b3f910c32398915431790b976e4

  大小:36384Kb

   网络小黑揭秘系列之私服牧马人

  这是一个被做过捆绑的传奇私服程序作为Dropper,运行后,它会释放一个真正的传奇私服客户端到Temp目录下:

  网络小黑揭秘系列之私服牧马人

  当然,还会买一送一地再释放一个DhlServer.exe到Temp目录下,以下我们将其称为样本B:

  网络小黑揭秘系列之私服牧马人

  释放的传奇私服客户端和DhlServer.exe(样本B)会同时运行起来:

   网络小黑揭秘系列之私服牧马人

  完成这些以后,样本A退出:

  网络小黑揭秘系列之私服牧马人

  样本B

  DhlServer.exe

  MD5:ff9ff955b6cd684d3f0234217182957d

  大小:28Kb

  在样本B的执行入口处,程序会解密一个字符串,其实是后续代码的下载地址:

  网络小黑揭秘系列之私服牧马人

  以下是加密字符串的解密算法:首先base64解码,然后单字节加0x7A,最单字节异或0×59

  网络小黑揭秘系列之私服牧马人

  Base64解码前:

  网络小黑揭秘系列之私服牧马人

  WinHex里的密文数据

  网络小黑揭秘系列之私服牧马人

  按如上的解密算法处理后:

    网络小黑揭秘系列之私服牧马人

  显然这是一个URL:http://120.26.**.**/NetSyst88.dll,我们把这个dll下载回来:

  网络小黑揭秘系列之私服牧马人

  文件内容做了加密:

  网络小黑揭秘系列之私服牧马人

  样本B会构造一个名字为DirPath的变量:C:/ProgramFiles/AppPatch/NetSyst88.dll,如图:

  网络小黑揭秘系列之私服牧马人

  然后通过CreateFileA判断C:/ProgramFiles/AppPatch/NetSyst88.dll文件是否存在:

  网络小黑揭秘系列之私服牧马人

  如果 CreateFile的返回值不是-1,说明存在此文件,接着样本B会对文件做一个简单的校验,先在文件里查找”SSSSSS”字符串,如果找到,往后找12个字节判断是否为”VID:2014-SV8”,如果是则校验通过,如图:

  网络小黑揭秘系列之私服牧马人

  查看我们得到的NetSyst88.dll,文件末尾结构如图,符合内部的校验方法:

  网络小黑揭秘系列之私服牧马人

  如果不存在该文件,或者校验失败,样本B就会从http://120.26.**.**/NetSyst88.dll地址把文件下载到本地:

  网络小黑揭秘系列之私服牧马人

  下载成功后,通过GetFileSize获取文件的大小,VirtualAlloc出相应的内存空间

  网络小黑揭秘系列之私服牧马人

  读取文件内容到分配的空间中,开始解密读取到的数据

  网络小黑揭秘系列之私服牧马人

  解密密钥为“Kother599”,程序会循环生成0×400字节大小的字典:

  网络小黑揭秘系列之私服牧马人

  生成字典的数据格式为:

  网络小黑揭秘系列之私服牧马人

  与之前生成的密钥字典循环运算得到另外一个字典:

  网络小黑揭秘系列之私服牧马人

  进入解密数据的循环,和生成的字典运算解密:

  网络小黑揭秘系列之私服牧马人

  解密后得到的是一个PE文件,如图:

  网络小黑揭秘系列之私服牧马人

  Dump出来,我们暂时称它为样本C,确认是一个加了UPX壳的dll,有2个导出函数,其中一个名为DllFuUpgradrs,如图:

  网络小黑揭秘系列之私服牧马人

  样本B会把解密后的数据(样本C)在内存中加载起来:

   网络小黑揭秘系列之私服牧马人

  获取导出函数DllFuUpgradrs的地址调用,传递了2个参数:第一个为加密过的数据块,第二个为字符串“Cao360yni”(听起来很不和谐):

  网络小黑揭秘系列之私服牧马人

  样本C

  从样本B中Dump出来的dll文件,这个明文版本实际运行时并不落地。

  MD5:b7da58410b6db28daf753815f2cc997c

  大小:244Kb

  从提取的字符串来看是一个远控的核心模块:

  网络小黑揭秘系列之私服牧马人

  程序不但包含了远控的主要核心代码,而且还包含了传统远控Droper的安装木马服务端的功能,如此的设计主要有两个考虑:

  1、尽量减小样本B的体积(只有28K),方便传播和做针对性的免杀

  2、把尽可能多的代码放到样本C中,因为样本C在磁盘上落地的为加密版本,运行时被加载到内存解密执行,杀毒软件不能查杀加密后的样本C,以达到远控核心模块免杀的目的

  样本C的DllFuUpgradrs导出函数的第一个参数是加密的字符串,解密后应该是上线配置信息的数据结构:

  网络小黑揭秘系列之私服牧马人

  入口出调用的解密算法和样本B的字符串的解密算法一样:

  网络小黑揭秘系列之私服牧马人

  网络小黑揭秘系列之私服牧马人

  解密后得到明文的上线配置信息:

  网络小黑揭秘系列之私服牧马人

  上线地址为zlailxc.oicp.net,这是一个动态域名,而动态域名一般会被杀毒工具重点关注,所以很多恶意代码利用ip138网站通过Web查询的方式进行解析,这样杀毒工具的网络拦截就会失效,因为ip138是一个受信任的站点。样本C会提交如下的请求:

  http://www.ip138.com/ips138.asp?ip=zlailxc.oicp.net &action=2

  网络小黑揭秘系列之私服牧马人

  在返回的数据中去查找“>>”和“木马的上线IP地址:< p>

  网络小黑揭秘系列之私服牧马人

  以下是对上线结构的描述:

  网络小黑揭秘系列之私服牧马人

  获取上线IP后,木马服务端会去连接这个IP与远控的控制端进行通信,下图为远控的接收数据并执行指定指令的函数,包含所有主流远控的功能:

  网络小黑揭秘系列之私服牧马人

  远控服务端植入到受害者电脑上后,受害者的电脑就成了傀儡,执行各种攻击者指定的恶意操作,比如键盘记录窃取密码、屏幕截取、摄像头查看(接下来你就能看到)等等。

  反制探查

  从样本分析我们得到了上线域名,接下来我们挖挖域名对应的服务器。

  通过查询360天眼威胁情报中心的基础数据,取得了动态域名曾经绑定过的IP地址信息,其中最近绑定的IP地址是120.26.**.**:

  网络小黑揭秘系列之私服牧马人

  该IP就是木马的上线的IP地址,对服务器探查了一番,发现存在一个可利用的漏洞并成功渗透进服务器,发现上面运行着大灰狼远控控制端,如图:

   网络小黑揭秘系列之私服牧马人

  服务器上运行的木马控制端监听了2个端口:2016和2017。

  查看监听2017端口上线的机器,发现都是架设私服的服务器系统,如图:

   网络小黑揭秘系列之私服牧马人

  而监听2016端口呢,上线的机器一般都是家庭用户或者网吧用户(估计是私服玩家),打开几个摄像头,果然发现好几个都是在网吧玩私服

  所以,攻击者应该配置了2个木马:一个配置2016端口,捆绑到私服的客户端上,私服玩家下载的私服客户端中招上线2016端口;另一个配置2017端口,捆绑到用于搭建私服的软件包里,专门服务于搭建私服服务器的人,使用这个植入木马的私服软件包完成搭建的同时服务器也就连接2017端口到攻击者的服务器报到。不出所料,我们在服务器D盘的一个叫“好”文件夹里发现了搭建私服的工具:

  网络小黑揭秘系列之私服牧马人

  对搭建私服的工具进行分析,发现这个文件也同样被捆绑了DhlServer.exe,

  网络小黑揭秘系列之私服牧马人

  提取出来这个DhlServer.exe,确认这个样本连接的是2017端口:

  网络小黑揭秘系列之私服牧马人

  攻击者除了捆绑木马到私服客户端使私服玩家中毒外,还通过自己开设私服的私服客户端以更新的方式下发木马:

  网络小黑揭秘系列之私服牧马人

  攻击者通过对私服玩家和私服开设者的双重控制,想干什么就取决于攻击者的心情和需求了,我们没有进一步挖掘下去。多少用户受影响?基于360天眼威胁情报中心的数据,我们确认受木马感染的机器数量在10000台以上。谁是可能的幕后黑手呢?接着往下看。

  顺藤摸瓜

  发现上线域名是个很好的突破口,历史记录是分析者的好朋友,下面就是证明。

  通过搜索引擎搜索动态域名:zlailxc.oicp.net,定位了一个猪八戒网的注册账号:zlailxc

  网络小黑揭秘系列之私服牧马人

  注册人是一个湖北荆门的人,推测账号的结构可能为:zl [名字拼音首字母] ai [爱] lxc [名字拼音首字母]

  常用邮箱: 895*****@qq.com

  手机号 : 156*****520

  网络小黑揭秘系列之私服牧马人

  根据账号名随手试了几个字典里常见的字串,成功,一个很深情的全数字密码:5**1*1* ,与上线域名遥相呼应。

  登陆上去发现绑定的邮箱地址为:895***90@qq.com,嫌疑人的QQ号看来是895***90,具体地址标为:湖北荆门钟祥,如图:

  网络小黑揭秘系列之私服牧马人

  搜索了一下QQ号,QQ资料如图,所有的信息没有对外公开,说明嫌疑人还是比较注意个人安全的:

       网络小黑揭秘系列之私服牧马人

  查询QQ群关系数据库,发现嫌疑人的名字叫刘星*,和刚才的账号中的lxc吻合,而且嫌疑人也加入了私服技术(菜鸟群),也与上文的样本A的来源吻合:

  网络小黑揭秘系列之私服牧马人

  这样,账号的含义更明确了:zl [估计是他女朋友的名字] ai [爱] lxc [刘星*]。

  通过搜索引擎搜索QQ号发现了一条记录,是在钟祥论坛发的帖子,如图:

  网络小黑揭秘系列之私服牧马人

  帖子的标题为:“求搭建传奇私服的技术”,如图:

  网络小黑揭秘系列之私服牧马人

  嫌疑人回过帖子,他的论坛的昵称为liuhong*,可能是根据刘星*的名字编的一个名字,发现嫌疑人在2012年已经掌握传奇私服的架设技术了:

  网络小黑揭秘系列之私服牧马人

  确认钟祥是湖北荆州下辖的一个县级市:

  网络小黑揭秘系列之私服牧马人

  还是之前爆破的那个密码,成功登录进嫌疑人在钟祥论坛的账号,但是所有操作都显示以下页面,可能是账号被论坛封了,如图:

  网络小黑揭秘系列之私服牧马人

  通过搜索QQ号,还发现嫌疑人之前还注册过一个域名:www.yaoqi**.com:

 网络小黑揭秘系列之私服牧马人

  此域名之前就是一个私服站:

  查找这个域名的信息,发现QQ号,电话号码为:138*****337:

  网络小黑揭秘系列之私服牧马人

  查询电话号码归属地,发现电话号码是湖北荆门的,应该是嫌疑人的电话号码:

  

网络小黑揭秘系列之私服牧马人

  如何利用手机号得到更多的信息呢?支付宝其实是个不错的渠道,查找手机号,发现手机号绑定了多个支付宝账户,第一个支付宝账户的名字和嫌疑人的名字符合,第四个支付宝的名字虽然打星了,但是可以猜测很可能是女伴的名字,叫*琳,更进一步明确动态域名账号的含意:zl [*琳] ai [爱] lxc [刘星*]:

  网络小黑揭秘系列之私服牧马人

  打开第一账号,找到嫌疑人的照片,挺帅一个小伙子,干点正经事多好:

   网络小黑揭秘系列之私服牧马人

  再次查询www.yaoqi**.com域名的whois信息,发现域名的所有者为liu xing**** liu:

  网络小黑揭秘系列之私服牧马人

  对联系人进行反查,还发现了另外一个域名 www.boy**.net:

   网络小黑揭秘系列之私服牧马人

  Google搜索了一下yaoqi**.com,发现这个私服站可能被挂过博彩的黑页,如图:

  网络小黑揭秘系列之私服牧马人

  一些总结

  我们现在看到的整个事件线:

  1、攻击者在私服搭建者用到的工具中捆绑远控木马,将工具共享推广出去,等待其他的私服架设者下载使用,这种污染工具源的攻击方式与Xcode后门事件相同。

  2、攻击者守株待兔等待使用后门架站工具的私服上线,进行控制。

  3、攻击者在自己的私服登陆器更新的同时向私服玩家推送木马。

  4、攻击者修改被控私服的客户端登陆器,捆绑上木马,等待他们的私服玩家中招。

  如下图所示:

  网络小黑揭秘系列之私服牧马人

  网络是一个魔鬼出没的世界,私服挺象一片沼泽,灰色地带可能隐藏着更多的魔鬼,有时候你真的不知道是你在玩游戏还是游戏在玩你。

华盟知识星球入口

原文地址:https://hack.77169.com/201512/218901.shtm

本文原创,作者:华盟君,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/19576.html

发表评论