歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

記一次對Steam盜號病毒的反制過程

來源:本站整理 作者:佚名 時間:2020-01-28 TAG: 我要投稿

事情起緣
事情起緣于上周的一個無聊的周末,周末總是無聊而又乏味,好基友每周也準時約我吃雞,可奈何我這個窮逼買!不!起!號!怎么辦呢?對!卡盟,隨便百度了一個某某卡盟,果然里面各種各樣的游戲的賬號都有,而且大部分的都是黑號,至于什么是黑號就不多說了(像這種倒賣黑號的也是一條產業鏈),就隨便下了個訂單。果不其然,并不是簡簡單單的直接發賬號密碼給你,而且還需要你下載所謂的登錄器,有些安全意識的朋友都知道陌生可執行的文件千萬不要隨便去運行。 下載下來后,AV軟件不出所料的報紅了。

可是我頭鐵啊,不慫!直接解壓添加白名單一氣呵成運行軟件,運行后我傻眼了,what??軟件居然在跟遠程服務器做交互。


起初我以為這只是單純的從遠程服務器上下載賬號所需的文件而已,大家都知道當steam在新的一臺電腦上登陸的時候是要登陸驗證的,其實這類的繞過驗證的原理也很簡單,steam登陸的時候在根目錄產生了兩個文件類似于cookie,估計是那些盜號者通過不為人知的手段盜取到號者的秘鑰文件然后統一到遠程服務器,在然后下載到本地替換文件從而到達了繞過驗證的操作。 確實,這臺服務器只是簡單的儲存賬號的秘鑰文件,可是!可是!登陸授權軟件這個小碧池背著我又偷偷的在后臺搞小動作,還好AV軟件給我及時的攔了下來,省去了進一步對軟件行為的分析。居然!在Windows的目錄下生產個shell文件夾,里面還是有一套ms17-010工具,嗯?給你錢了還要搞我一波內網?這誰樂意啊。

信息探測
由于前面已經抓到了該軟件跟服務器交互的ip,既然是跟盜號有關的我第一個念頭想到的就是威脅情報,直接把該ip丟到了某威脅情報看看能不能找到什么線索,果不其然在五月份的時候就有用戶標記出了此IDC服務器是用于steam盜號的,且爆出了疑似該服務器的所有者的一些聯系方式。


雖然得到了一些可能跟該服務器有關的一些信息,或許這些信息對后續需要爆破時制作密碼表是有一定的幫助的,爆破屬于后續且咱們現在還對該服務器一無所知,還不清楚開放了哪些端口提供哪些服務,廢話不多說上nmap一頓掃描再說。 Nmap -sV -Pn -O -A 4x.xx.xx.95,得到以下信息,中間件使用的是Apache2.4.39版本,服務器是Windows server 2008 R2,且開放的web端口是90,1433的mssql數據庫端口也是對外網開放的(這里我們可以結合上面得到的信息制作密碼表對數據庫進行爆破)。

上面只是對該服務器的一些端口信息初步的探測,接下來咱們在用nmap自帶的漏洞腳本進一步對主機的漏洞進行探測,nmap –script=vuln 4x.xx.xx.95這里是利用nmap腳本對目標主機進行檢查是否存在常見的漏洞,且如果存在漏洞nmap也會給出相應的cve編號,然后咱們在利用kali自帶的metasploit滲透框架進行對應的cve編號搜索驗證利用。很遺憾,這里就探測出了一個有cve編號的漏洞cve-2014-3566,該漏洞是屬于ssl3.0的信息泄露漏洞可進行中間人攻擊,這里咱們就不深入研究了(實際利用的可能性不大)。

那么接下來就讓我們看看該主機所開放的90端口都有什么web服務吧,如果是采用cms套件搭建的網站那對于我們后續進一步的滲透可能會有所幫助,可遺憾的是該主機所能訪問的web端口并未建立起任何的服務。難道真的只能通過爆破1433數據庫了?爆破成不成功先不說,爆破所花費的時間也是大量的,且直覺告訴我,這臺服務器應該只是提供賬號秘鑰的存儲與下載,就不花費太多的精力在上面了。
柳暗花明
正當我一籌莫展的時候,思路又回到了起始點,該授權登錄器我還沒好好的去分析呢,起初只是通過殺毒軟件的攔截簡單的進行判斷而已,扔進虛擬沙箱跑一遍看看。果然是盜號軟件,赤裸裸的按鍵記錄行為。

接下來在看看該盜號軟件的執行流程,發現該軟件釋放出來的子程序還有跟另一臺服務器有HTTP交互,且該服務器上的Windows.zip文件正是那套ms17-010的內網掃描工具。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 规律三中三独平公式 大圣配资靠谱吗 广西双彩今日开奖结果 股票涨跌由什么决定 知乎 甘肃十一选五走势图解 管家婆一波中特已公开 黑龙江11选5遗漏数据 福建十一选五体彩 开奖直播 浙体育彩票20选五