欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

借鸡生蛋:DNF恶意外挂登陆器分析

来源:本站整理 作者:吃荤的驴子 时间:2017-04-21 TAG: 我要投稿


0×00 前言
有江湖的地方就有纷争,同样有游戏的地方也就有外挂。对于DNF(地下城与勇士)这款在国内运营了接近10年的老牌端游,大家一定不会感到陌生。由于运营时间长,受众广,DNF相关的外挂私服也比比皆是。为了能够在众多的外挂私服中,获得广大的用户群,从而获得利益,有些恶意软件作者,就将目标瞄准到外挂私服上,下面就来详细介绍这类“借鸡生蛋”的恶意软件。
0×01 恶意软件信息
该恶意软件通过二次打包其他第三方外挂登录器,并携带自身恶意模块,生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候,会释放并启动一个名为“Reality.log”的程序,其实这个文件才是真正的外挂登陆器,同时也会释放运行恶意模块,运行效果如下图所示。通过这种借鸡生蛋的方式,恶意软件作者不需要自己去开发维护外挂登陆器,直接借用第三方程序的用户来发展自己的肉鸡获取利益。

该类恶意程序最早出现在2015年10月,至今共发现其相关的恶意打包程序约160个,期间该类恶意程序一直持续更新,均伪装成DNF外挂登陆器,包括但不限于将夜DNF辅助,火云辅助,创界辅助,风华辅助,天堂辅助,契约辅助,盘龙登陆器,咸鱼DOF登录器,魔剑DNF登录器,小狐狸登录器,小三DNF登陆器,娱乐DNF登录器,昊天登陆器等。其主要功能演变如下图所示。

0×02 背景信息
该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。
通过技术手段恶意锁定用户的浏览器主页为自己的导航推广,当“肉鸡”积累到一定程度的时候,每天都会产生比较可观的利益。同时通过篡改hosts文件,劫持竞争对手的私服网址,引流到自己的网站,将竞争对手的用户转化为自己的用户。
在外挂私服这种不受法律的黑色灰色产业中,DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击,使竞争对手的服务器不能正常工作。对于游戏提供商来说,这几乎是致命的,一旦服务器遭受攻击宕机,很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”,通过恶意攻击私服服务器,敲诈私服从业者提供高额的“保护费”。
0×03 基本流程
下面以这款名为“盘龙登陆器”为例,分析该恶意软件的基本流程,如下图所示。
该私服登陆器运行之后,在释放运行真正的登陆器Reality.log的同时,会释放Intel类模块和Winnet类模块,Intel类模块主要负责主页锁定,反调试检测以及下载DDOS模块,Winnet类模块主要负责LSP代理劫持,用于劫持Reality.log以及Reality.log的子进程的网络。

0×04 详细分析
该类恶意外挂登陆器主要分为三个恶意模块,分别是Intel类主页锁定模块,Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。
4.1Intel类主页锁定模块
Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分,其中驱动部分功能的正常运行需要应用层初始化数据来进行配合,如果单独运行驱动,将直接导致蓝屏,这也在一定程度上增加了分析的难度,值得一说的是,该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型,而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。
4.1.1浏览器主页锁定
主页的锁定是需要应用层和驱动层共同协作,这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数,得知如果启动的进程是浏览器进程,则会结束该进程,同时将浏览器启动的信息通过写文件的方式通知应用层,应用层获得浏览器的启动信息后,将需要锁定的主页以参数的方式跟在浏览器路径后面,然后打开该浏览器进程,正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。



4.1.2Downloader功能

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载