针对亚洲游戏职业的新式供应链进犯剖析

访客5年前黑客文章421

犯罪团伙进犯游戏职业也不是什么新鲜事了,其惯用 *** 是在游戏的构建环境中刺进后门,然后将歹意软件作为合法软件分发出去。卡巴斯基实验室就曾报导过某款在2011年很受欢迎的游戏被Winnti安排植入了后门的事情。
最近,ESET的研究人员留意到了一同针对游戏职业的新式供应链进犯,此次进犯举动触及两款游戏和一个游戏渠道应用程序。考虑到进犯首要针对亚洲地区和游戏职业这两个特性,咱们有理由估测此次进犯仍有或许是Winnti安排所为。
三起事例,相同后门
在咱们观察到的三起事例中,进犯者别离就不同的目标采取了不同装备的歹意软件,但其包括后门代码是相同的,而且运用了相同的发动机制。当时,三款产品中有两款已不再包括后门,但还有一款产品的开发商却仍在散发着带有木马的版别,而具有挖苦意味的是,这款游戏刚好也名为Infestation(感染),由泰国开发商Electronics Extreme制造。自2月初以来,咱们现已过各种渠道屡次告诉该公司,但没有取得显着发展。
让咱们看看该歹意软件payload的嵌入 *** ,以及关于后门的一些细节。
Payload的嵌入
Payload代码在后门可履行文件履行前期发动。对C Runtime初始化的规范调用(图1中的__scrt_common_main_seh)在PE进口点之后挂钩,以在其他内容之前就发动Payload(图2)。这或许标明进犯者改动的是代码的构建装备而不是源代码自身。

图1.未受损的可履行文件进口点

图2.受损的可履行文件进口点
在C Runtime代码和主机应用程序后续代码康复正常履行之前,增加到可履行文件的代码将解密并发动后门内存。嵌入的payload数据具有特定的结构,如图3所示,它由增加的解包代码解析。

图3.嵌入的payload结构
它包括一个RC4密钥(与0x37进行XOR操作),用于解密文件名和嵌入的DLL文件。
歹意Payload
实践Payload十分小,只包括大约17 KB的代码和数据。
装备
如图4所示,装备数据仅仅一个用空格分隔的字符串列表。

图4.Payload装备数据
装备包括四个字段:
· C&C服务器URL。
· 变量(t),用于确认在持续履行之前的睡觉时刻(以毫秒为单位)。等候时刻在2/3 t到5/3 t之间随机挑选。
· 标识活动的字符串。
· 以分号分隔的可履行文件名列表,假如其间任何一个正在运转,则后门将间断其履行。
ESET研究人员现已确认了五个版别的Payload:

在前三个变体中,代码没有从头编译,但装备数据是在DLL文件中修改的,其他内容是用于字节仿制的字节。
C&C基础设施
域名是经过精心挑选的,以使它们看起来与游戏或应用程序发布者相关。apex域被设置为运用Namecheap重定向服务重定向到相关的合法站点,而子域指向歹意的C&C服务器。

在本文发布时,还没有任何域被解析,且C&C服务器没有响应。
侦查陈述
bot标识符由机器的MAC地址生成。后门向C&C服务器陈述有关核算机的信息,如用户名、核算机名、Windows版别和体系言语,并等候指令。数据用密钥“*&b0i0rong2Y7un1”和base64编码进行XOR加密。从C&C服务器接纳的数据运用相同的密钥加密。
指令
这个后门相对简略,只要四个指令能够被进犯者运用:
· DownUrlFile
· DownRunUrlFile
· RunUrlBinInMem
· UnInstall
这些指令十分简单了解,它们答应进犯者从给定的URL运转额定的可履行程序。
最终一个或许不那么显着。卸载指令不会从体系中删去歹意软件。究竟,它嵌入到一个合法的可履行文件中,依然需求运转。它没有删去任何东西,而是经过将注册表值设置为1禁用歹意代码:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionImageFlag
当Payload发动时,会查询注册表值,假如设置了注册表值,则履即将间断。
第二阶段
根据ESET的遥测技术,向受害者供给的第二阶段的payload之一是Win64/Winnti.BN。据咱们所知,它的dropper是经过HTTPS从api.goallbandungtravel[.]com处下载的。咱们现已观察到它运用以下文件名作为Windows服务和在C: Windows System32中的DLL进行装置:
· cscsrv.dll
· dwmsvc.dll
· iassrv.dll
· mprsvc.dll
· nlasrv.dll
· powfsvc.dll
· racsvc.dll
· slcsvc.dll
· snmpsvc.dll
· sspisvc.dll
咱们剖析的样本巨细约为60 MB,尽管看着大,但实践歹意软件巨细仅介于63 KB和72 KB之间,由于歹意软件附带了许多洁净的文件。这或许是由植入并装置此歹意服务的组件完结的。
一旦服务运转,它将扩展名.mui附加到其DLL途径,读取该文件并运用RC5对其解密。解密后的MUI文件包括方位独立、偏移量为0的代码。RC5密钥来自硬盘序列号和字符串“f@Ukd!rCto R$.” 。但是,咱们无法取得任何MUI文件,也无法取得装置它们的代码。因而,咱们不知道这种歹意服务的切当意图。

[1] [2]  黑客接单网

相关文章

想找黑客宝宝诡异爹的全文百度云下载。。谢谢

Copyright (c) 1997-2018 The PHP Group0x03 修复建议就算不开启ssl模块,你自己修改apache配置,能开启其他端口,也是能利用的#ifdef SINGLE_L...

整人代码,快手被盗找黑客,被骗了找黑客

-s第一个暗码,从自己界说的暗码xxx开端二、Bypass Fuzz能够进行拼接,形成进犯者履行恣意的sql句子。 简直一切的样本都需求动态的解码才干获取到相关的函数调用。 修正计划:在辨认网络欺诈方...

借不了赌怎么办、总输钱、然后还幻想能赢回来

关于成功率的说法通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器,包括域控服务器。 Windows XP 专业 x64 版 SP2借不了赌怎么办、总输钱...

微信监视,想找一个电脑高手黑客怎么找,怎样去当面找黑客帮忙

然后修正下载的gif文件的后缀名为exe加入到开机发动项,并履行此病毒文件,此病毒文件即BlackEnergy。 [1][2]黑客接单渠道前语 动网: ReloadForumCa...

网络赌搏如何定罪输了的钱能否要回来

Windows Server 2008 R2 Itanium黑客接单平台补丁下载链接临场救火:Sigma规则https://github.com/spring-cloud/spring-cloud-c...

网络赌博被骗了,是不是钱基本都追不回来了

先给大家简单介绍一下“MS_T120”这个静态虚拟信道,它的RDP信道编号为31,位于GCC会话初始序列中。 这是一个微软内部使用的信道名称,而且在客户端通过一个SVC来请求建立连接时,不会显示关于“...