最新国产福利在线_午夜国产日韩欧美一区_国产精品青青在线观看爽_日本免费自拍亚洲_亚洲第一无码在线观看_色噜噜狠狠爱综合视频_亚洲av免费观看在新更新_久久久免费观成人影院_别揉我奶头~嗯~啊~少妇视频_福利视频一区二区牛牛

新聞資訊
行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務中心 | 游戲MOD伴隨盜號風險,仿冒網(wǎng)站借“風靈月影”竊密
游戲MOD(即游戲修改器)是一種能夠?qū)τ螒蜻M行修改或增強的程序,因其能夠提升游戲體驗,在玩家群體中擁有一定的市場。然而,這類程序大多由第三方開發(fā)者制作,容易缺乏完善的安全保障機制,這就為不法分子提供了可乘之機,使得游戲MOD逐漸成為被盜號程序利用的對象。

惡意程序開發(fā)者通常將惡意程序偽裝成熱門游戲MOD,并宣稱這些MOD擁有“無限資源”“無敵模式”等功能,吸引玩家下載。部分惡意程序甚至還會向電腦植入后門以便長期潛伏,進一步竊取隱私信息或發(fā)起僵尸網(wǎng)絡攻擊。

圖片

游戲MOD


近期,火絨安全情報中心檢測到一款偽裝成游戲MOD的盜密程序(Lumma Stealer)。該程序通過偽造游戲MOD“風靈月影”的官網(wǎng)和下載鏈接,誘導用戶下載安裝。此類惡意程序能夠竊取用戶的游戲賬號和密碼等敏感信息,使用戶面臨嚴重的安全風險?;鸾q安全提醒廣大用戶務必從官方或可信渠道下載軟件,避免因使用來路不明的程序?qū)е沦~號被盜或數(shù)據(jù)泄露。目前,火絨安全產(chǎn)品可對上述病毒進行攔截查殺,建議廣大用戶及時更新病毒庫以提高防御能力。

圖片

查殺圖

根據(jù)火絨安全情報中心統(tǒng)計,已有部分用戶在不知情的情況下下載并安裝了該盜密程序,導致游戲賬號被盜、游戲賬號內(nèi)的貨幣和道具等虛擬資產(chǎn)受損,甚至與游戲賬號綁定的支付賬戶也受到了影響。

圖片

游戲被盜號


該盜密程序所在的偽造頁面與官方頁面幾乎完全相同。

圖片

偽造頁面

圖片

官方網(wǎng)站


其偽造網(wǎng)站在搜索引擎中的排名也處于靠前位置。

圖片

搜索引擎


樣本執(zhí)行流程圖如下:

圖片

流程圖




Lumma Stealer樣本分析

第一階段
初始樣本通過將壓縮包附帶的數(shù)個數(shù)據(jù)文件偽裝成正常的軟件文件夾結(jié)構(gòu)。其本質(zhì)是利用“白加黑”的方式來執(zhí)行惡意代碼。

圖片

文件夾結(jié)構(gòu)


該樣本的惡意DLL采用增大體積的方法繞過云上傳。

圖片

增大體積


其惡意代碼Loader集中在黑文件MindClient.dll中,通過Setup.exe進行白加黑啟動,并將惡意函數(shù)隱藏在DLLMain初始化的_cinit函數(shù)中。
具體加載流程為:DLLEntryPoint()→DLLMain()→_CRT_INIT()→_cinit()→_initterm_e()→__InitCPLocHASH()

圖片

圖片

惡意函數(shù)加載流程


其惡意代碼shellcode主要存儲在文件pulque.vcf與affifdavit.zip(偽裝的壓縮包文件)中。惡意函數(shù)會從這些文件中讀取惡意代碼,并將其加載到內(nèi)存中。

圖片

從文件中讀取惡意代碼


該惡意代碼通過進程鏤空技術(shù)進行加載:首先,加載dbghelp.dll;接著,將dbghelp.dll中.text區(qū)段的內(nèi)存屬性修改為可寫;之后,將其自身復制到.text區(qū)段;隨后,修改并恢復該區(qū)段的內(nèi)存屬性;最后,執(zhí)行惡意代碼。

圖片

進程鏤空加載惡意代碼


該惡意代碼通過PEB獲取kernel32.dll、ntdll.dll。接著,借助CRC算法構(gòu)建Hash,之后通過Hash匹配獲取系統(tǒng)API,并構(gòu)造一個必要API數(shù)組。

圖片

構(gòu)造必要系統(tǒng)API


完成API數(shù)組的構(gòu)造后,再次利用進程鏤空技術(shù)進行加載:首先,通過加載pla.dll實現(xiàn)進程鏤空;隨后,將其自身復制到已完成鏤空操作的pla.dll中并進行加載。

圖片

再次進程鏤空


隨后,通過同樣的方式再次構(gòu)造API數(shù)組,此次獲取到的API數(shù)量有所增加。

圖片

圖片

獲取更多API


之后,將病毒的主要文件復制到C:\Users\Admin\AppData\Roaming\aah路徑下,并創(chuàng)建進程C:\Users\Admin\AppData\Roaming\aah\TiVoDiag.exe(前提是該進程不存在)。

圖片

復制惡意文件


然后,再次獲取關(guān)鍵API,其中包含網(wǎng)絡相關(guān)的API。

圖片

網(wǎng)絡相關(guān)API


接著,通過進程Token查詢進程的完整性級別。

圖片

查詢進程的完整性級別


隨后,通過com組件{00021401-0000-0000-C000-000000000046}創(chuàng)建快捷方式,進一步實現(xiàn)持久化操作。

圖片

com組件快捷方式


之后,惡意代碼再次利用進程鏤空技術(shù),將其自身注入到shdocvw.dll中,并創(chuàng)建more.com掛起進程(more.com為查看文本命令,類似于Linux系統(tǒng)中的cat命令)。

圖片

圖片

進程鏤空創(chuàng)建掛起進程


接著,通過天堂之門對掛起的more.com進程進行代碼注入。

圖片

天堂之門


對X64代碼進行分析發(fā)現(xiàn),該惡意代碼主要通過syscall系統(tǒng)調(diào)用實現(xiàn)API調(diào)用。

圖片

syscall


通過分析syscall code可知,該惡意代碼主要來源于參數(shù)[ebp+8]。經(jīng)分析,其主要利用的syscall code如下。

圖片

syscall code


之后,通過天堂之門進行系統(tǒng)調(diào)用NtCreateSection與NtMapViewOfSection,最終實現(xiàn)惡意代碼對more.com進程的內(nèi)存映射。

圖片

惡意代碼映射


隨后,將其最終shellcode進行加密,并寫入到臨時文件夾。

圖片

寫入本地臨時文件夾、惡意代碼


之后,再次通過天堂之門進行系統(tǒng)調(diào)用NtSetContextThread、ZwSetThreadContext、ResumeThread,以恢復more.com的進程掛起。

圖片

恢復掛起進程more.com


第二階段

惡意代碼通過獲取大量API的方式進行初始化,接著解密第一階段生成的臨時惡意代碼文件,隨后將解密后的惡意代碼注入svchost.exe,以完成惡意代碼的利用。

圖片

運行流程


首先,惡意代碼通過獲取大量API的方式,完成其運行環(huán)境的初始化。

圖片

獲取API


接著,將計算機名字生成的密鑰作為解密密鑰,對臨時文件進行解密。

圖片

解密臨時文件


解密出來的惡意代碼包含配置信息和用于第三階段的內(nèi)存PE文件,該文件屬于Lumma Stealer。

圖片

解密出配置信息

圖片

解密出內(nèi)存PE


之后,調(diào)用天堂之門完成對svchost進程的注入。此次注入所使用的syscall系統(tǒng)調(diào)用代碼與第一階段不同,其syscall code已更改為[rbp+0C]。

圖片

天堂之門


惡意代碼通過進程鏤空rpcrt4.dll的方式創(chuàng)建svchost.exe進程。

圖片

svchost進程創(chuàng)建


接著,再次通過天堂之門實現(xiàn)對X64系統(tǒng)的調(diào)用,最終實現(xiàn)對svchost的惡意代碼注入。
在此過程中,惡意代碼切換X64環(huán)境分別調(diào)用了以下函數(shù):
NtMapViewOfSection 0x0003;
NtWriteVirtualMemory 0x003a;
NtProtectVirtualMemory 0x0050;
NtResumeThread 0x0052。

圖片

syscall injet


第三階段

對解密出的內(nèi)存PE文件進行分析發(fā)現(xiàn),它是Lumma Stealer的竊密程序。該文件能夠獲取剪貼板信息、Steam token以及瀏覽器賬號密碼數(shù)據(jù)庫等信息。

圖片

剪貼板信息


該竊密程序?qū)team eya token以及瀏覽器賬號密碼等信息的獲取方式與Go語言下的“偽裝者”如何實現(xiàn)悄無聲息地隱私盜竊中的竊密程序相同,具體細節(jié)可查看往期分析報告。
最后,將數(shù)據(jù)進行7z壓縮,并上傳至域名sterpickced.digital,完成信息竊密。