freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

查看加密的QQ空间相册难么?
2020-07-10 16:03:02

概述:

很多人喜欢将QQ空间的空间相册功能当做照片网盘,把一些自己或是珍贵、或是敏感的照片保存在QQ空间的相册中,并设置访问权限阻止其它人访问,从而达到拥有一个私人相册的目的。但如果有人想破解这个访问权限,是否困难呢?

要回答这个问题,就需要知道QQ快捷登录的原理,简单讲就是如果黑客获取了你QQ的一个叫ClientKey的东西,那么他就能直接进入你的QQ空间查看加密相册,而ClientKey的获取,对于黑客而言并不复杂。

以我们发现的一个盗取ClientKey的木马为例,近期毒霸 工作人员接到用户反馈,电脑反复出现盗号木马的提示,跟进后发现都是由同一类游戏修改器反复释放而来,该木马盗取QQ的ClientKey之后,利用QQ的第三方登录功能,登录第三方网站进行暗刷、论坛刷帖等功能。

通过对后台上报信息进行梳理后,我们发现该木马来自一些古老的游戏修改器、绿色软件等小工具类产品,从代码风格和域名来看,均为同一人使用VB所编写。由于VB语言的编译特性,程序具有较好的免杀效果,截止目前,VT上只有一款杀软能够检出该木马:

分析:

病毒从被作者发布到执行,大体流程如下:

由于部分玩家想使游戏增加额外的“乐趣”,喜欢去网上搜索游戏修改器,而病毒作者也瞄准了这类需求,针对性的将游戏修改器和病毒打包在了一起,并上传至各大下载站,目前发现的主流下载站主要有以下三个:

这类下载站由于SEO优化较好,在搜索引擎结果中排名靠前,因此也会获得较多的展示下载机会,尽管杀软会对下载的文件报毒,但用户在此类刚需的情况下,更喜欢主动忽视、甚至是关闭掉杀毒软件,病毒也因此获得最终的执行机会。

当用户下载到被二次打包的软件,双击打开后,该安装包会释放出一个下载器模块setup.exe到temp目录:

该文件会二次下载一个包含有WPS升级程序的白文件,由于该升级程序是通过命令行传入参数来获取下载地址,但却没有对下载链接做任何限制,而该升级程序本身是正常文件,部分杀软也会直接放行,故被病毒利用来下载执行指定文件。在访问远程地址获得后续需要的配置文件后,发现目前主要下发一些推广软件和盗号木马,配置文件被加密保存在作者的服务器上:

配置解密代码如下:

其中盗号木马下载地址为hxxp://tyl123.cn/tmp/0003.exe,该文件中内嵌多个PE文件模块:

0003.exe运行后,会等待5分钟再执行后续操作,猜测是为了躲避在线沙箱的检测,等待期结束后,会释放除盗号模块外的所有文件到AppData目录下,然后根据远端服务器hxxp://www.mysvipxrtx.com/api/busins返回的指令信息,决定是否执行后续的盗号流程,若有返回信息,则执行后续操作,否则每间隔5分钟重复请求一次返回信息。

开始执行盗号流程后,病毒会释放QQProtece32.dll文件至AppData目录下,采用远程线程注入的方式,将上述模块注入到qq.exe进程中:

盗号木马注入的手法众多,除了使用CreateRemoteThread在目标进程加载执行,我们还发现另外一类针对QQ盗号的木马稍显特别,这类木马使用了CallWindowProc在QQ进程内执行ShellCode,再利用网易loft博客作为其命令下发的CC地址hxxps://sudu198714.lofter.com/post/31c74d82_1c8ac4c96,为了防止域名失效,其备用域名使用了百度对象存储服务hxxps://uadate.fwh.bcebos.com/mini.txt:

QQProtece32.dll在被注入QQ的进程后,会最终释放出盗取ClientKey的QClient32.dll文件到QQ的目录下,然后加载执行这个最终的盗号模块。该模块通过调用KernelUtil.dll 中的 ?GetSelfUin@Contact@Util@@YAKXZ获取登录的QQ号,然后再通过?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z计算得到对应的ClientKey,最终完成ClientKey的盗取。

盗取来的ClientKey主要用于刷直播关注量、QQ部落留言、空间关注等,目前主要刷的是网易CC直播的一位主播:

 其它:

在对样本的相关木马下载地址进行关联溯源时,发现该域名的备案号下,还有其它几个域名: 部分域名更是早在2016年就曾进行过流量暗刷、主页劫持等行为:         其中一个域名,疑为作者的个人主页,页面上附带有不少作者的个人简介说明信息: 

页面上不仅有大量的小工具类软件的下载链接,还留有软件作者的联系方式: 

        利用搜索引擎搜索作者的名字,也能搜到不少的新闻,可见作者从事相关的开发工作也已多年:

建议:

  • 在游戏时,避免使用外挂、修改器等第三方工具,必要时,可使用沙箱、虚拟机等软件运行这类工具
  • 当杀毒软件报毒时,切勿轻易点击放行,若怀疑误报,可向杀软工作人员核实后再运行
  • 若怀疑中毒,可使用金山毒霸进行扫描检查

IOCs

MD5:

a177249fd572d8ba34a6faf4b7e714b6

bcb949631168dead2113582cf8a7049e

55edb115eb9ece17921eebcfcfb853bc

fafb3f625ea456a12dee8de0ece869db

216ec0b28a38582c08cb3b1be1f7ba97

B8064AF23273DE431AE290C3C739479B

d5ac0d990f148fd7326672bedc26aef2

ecb0766f160e95ba07884d30012ceb40

URL:

hxxp://tyl123[.]cn/tmp/0003.exe

hxxp://tyl123[.]cn/tmp/wpbyf.exe

hxxp://www.lovehy[.]com

hxxp://yunlongservice[.]cn

hxxp://msnunion[.]com

hxxp://mysvipxrtx[.]com

# 盗号木马 # ClientKey
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者