浅析:某授权绕过steam令牌的背后究竟是何居心-CatGame
【文件名称】:最新94一键授权登陆软件.exe【SHA256】:3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802【运行环境】:win7
【文件名称】:xxxxx.tmp---->TemporaryFile .exe【SHA256】:1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87
【运行环境】:win7
【使用工具】:WinHex IDA OD PEID
听说最近有人模仿我发帖的方式????
这就很尴尬呀......难受哟!!!
还是同一个主题 关于盗号的,但是这一次是关于某授权通过ssfn文件绕过steam令牌的背后到底它做了什么!(ps:帖子写的时候电脑蓝屏了 导致可能有错误 如果大佬发现麻烦指出来
0X00 前言浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在
这里就有很大的问题
PEID查壳
程序载入OD后你会发现并不是易语言的常见OEPpush ebp
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x01 使用CreateProcessA创建一个新进程
使用CreateProcessA创建一个新进程
暂时先不管这个tmp到底是干嘛的 继续往下走
调用exitpocess后结束了进程
但是进程栏却多了一个进程
那么首先就是把注意力放在tmp文件上
使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本
他们的大小还是有区别的
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0x02通过分析修改后缀后的exe文件并没有什么可疑的行为
那么也许问题还是出在原来的程序上
至此大胆判断,目标程序执行流程应该是
为了找到它的病毒tmp 花了不少时间终于摸透了
需要把这个选项给关掉才可以看到他隐藏的文件
或者通过
Attrib cmd命令行查看也可以
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0x03通过winhex查看文件 发现是一个可执行文件 并且UPX加壳
UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe
如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0x04 敏感行为
获取键盘记录
查询IE缓存与修改
取QQcookie
老生常谈了
键盘记录
获取浏览器缓存
创建一个新线程
获取注册文件(简单说一下这是干嘛的,用来存放用于系统COM+或者其他组件注册的相关文件。)
写俩文件
这个error也就是开头的报错
获取steam进程
窃取用户cookie文件
窃取Internet Explorer的缓存文件
.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.o.o.k.i.e.s.\.6.8.0.M.2.Q.F.R...t.x.t.......LMEM....p.0.86-.....C)..C.:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5txt.......LMEM......0..6-.....l)..C.:.\.U.s.e.r.s.\.A.d.m.i.n.i.s.t.r.a.t.o.r.\.A.p.p.D.a.t.a.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.
拼接一下就是
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5.txt
其他获取QQcookie(通过快速登陆漏洞)等......
TCP链接
这应该是个远控功能
获取steam ssfn文件
94授权作者服务器:14.18.240.77
盗号器作者服务器:43.248.186.95
至此 此授权的基本大致行为就分析完了
下面是我画的流程图
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0x05 CatGames帖子必备的免杀测试测试杀软:腾讯电脑管家,360安全卫士,火绒安全1. 腾讯电脑管家指定扫描结果
运行是否拦截(免杀.exe未拦截)
2.360安全卫士指定位置扫描
运行是否拦截
样本.exe运行未拦截3.火绒安全指定扫描
这有点看傻我了
运行是否拦截
释放的时候还是会拦截
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
后 记(来自Bilibili)
随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。
当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?
Catgames的小窝:CatGanes.cn
发帖的方式我希望大家都有一个独立的发帖方式,很多大佬都是很正常正规的发帖方法,而且就是喜欢不一样,毕竟世界这么大,一样多没意思
感谢喵内ZZ的表情包(其实都是我偷来的)GLHF!
本文由看雪论坛 CatGames 原创
