欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

记一次对Steam盗号病毒的反制过程

来源:本站整理 作者:佚名 时间:2020-01-28 TAG: 我要投稿

事情起缘
事情起缘于上周的一个无聊的周末,周末总是无聊而又乏味,好基友每周也准时约我吃鸡,可奈何我这个穷逼买!不!起!号!怎么办呢?对!卡盟,随便百度了一个某某卡盟,果然里面各种各样的游戏的账号都有,而且大部分的都是黑号,至于什么是黑号就不多说了(像这种倒卖黑号的也是一条产业链),就随便下了个订单。果不其然,并不是简简单单的直接发账号密码给你,而且还需要你下载所谓的登录器,有些安全意识的朋友都知道陌生可执行的文件千万不要随便去运行。 下载下来后,AV软件不出所料的报红了。

可是我头铁啊,不怂!直接解压添加白名单一气呵成运行软件,运行后我傻眼了,what??软件居然在跟远程服务器做交互。


起初我以为这只是单纯的从远程服务器上下载账号所需的文件而已,大家都知道当steam在新的一台电脑上登陆的时候是要登陆验证的,其实这类的绕过验证的原理也很简单,steam登陆的时候在根目录产生了两个文件类似于cookie,估计是那些盗号者通过不为人知的手段盗取到号者的秘钥文件然后统一到远程服务器,在然后下载到本地替换文件从而到达了绕过验证的操作。 确实,这台服务器只是简单的储存账号的秘钥文件,可是!!可是!!登陆授权软件这个小碧池背着我又偷偷的在后台搞小动作,还好AV软件给我及时的拦了下来,省去了进一步对软件行为的分析。居然!在Windows的目录下生产个shell文件夹,里面还是有一套ms17-010工具,嗯?给你钱了还要搞我一波内网?这谁乐意啊。

信息探测
由于前面已经抓到了该软件跟服务器交互的ip,既然是跟盗号有关的我第一个念头想到的就是威胁情报,直接把该ip丢到了某威胁情报看看能不能找到什么线索,果不其然在五月份的时候就有用户标记出了此IDC服务器是用于steam盗号的,且爆出了疑似该服务器的所有者的一些联系方式。


虽然得到了一些可能跟该服务器有关的一些信息,或许这些信息对后续需要爆破时制作密码表是有一定的帮助的,爆破属于后续且咱们现在还对该服务器一无所知,还不清楚开放了哪些端口提供哪些服务,废话不多说上nmap一顿扫描再说。 Nmap -sV -Pn -O -A 4x.xx.xx.95,得到以下信息,中间件使用的是Apache2.4.39版本,服务器是Windows server 2008 R2,且开放的web端口是90,1433的mssql数据库端口也是对外网开放的(这里我们可以结合上面得到的信息制作密码表对数据库进行爆破)。

上面只是对该服务器的一些端口信息初步的探测,接下来咱们在用nmap自带的漏洞脚本进一步对主机的漏洞进行探测,nmap –script=vuln 4x.xx.xx.95这里是利用nmap脚本对目标主机进行检查是否存在常见的漏洞,且如果存在漏洞nmap也会给出相应的cve编号,然后咱们在利用kali自带的metasploit渗透框架进行对应的cve编号搜索验证利用。很遗憾,这里就探测出了一个有cve编号的漏洞cve-2014-3566,该漏洞是属于ssl3.0的信息泄露漏洞可进行中间人攻击,这里咱们就不深入研究了(实际利用的可能性不大)。

那么接下来就让我们看看该主机所开放的90端口都有什么web服务吧,如果是采用cms套件搭建的网站那对于我们后续进一步的渗透可能会有所帮助,可遗憾的是该主机所能访问的web端口并未建立起任何的服务。难道真的只能通过爆破1433数据库了?爆破成不成功先不说,爆破所花费的时间也是大量的,且直觉告诉我,这台服务器应该只是提供账号秘钥的存储与下载,就不花费太多的精力在上面了。
柳暗花明
正当我一筹莫展的时候,思路又回到了起始点,该授权登录器我还没好好的去分析呢,起初只是通过杀毒软件的拦截简单的进行判断而已,扔进虚拟沙箱跑一遍看看。果然是盗号软件,赤裸裸的按键记录行为。

接下来在看看该盗号软件的执行流程,发现该软件释放出来的子程序还有跟另一台服务器有HTTP交互,且该服务器上的Windows.zip文件正是那套ms17-010的内网扫描工具。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载