让世界更安全,更美好!

360数字安全 核心优势 行业地位 资质荣誉 大事记 资讯中心

游戏盗号木马横扫多地网吧,360安全大脑溯源披露作案攻击手法

2020-07-17

2020年6月,警方破获一起大规模网吧非法植马案件,该案件主要为通过上机植马的方式,向多家网吧服务器植入“STUpdater.exe”木马,并对网吧服务器及主机进行远程控制,从而盗取大量游戏账号;在进一步确认后发现,广州、合肥、成都等多地网吧也接连出现类似情形,对网络安全造成巨大危害,严重扰乱了社会秩序。

360安全大脑在接到警方协助侦查需求后,结合安全大数据分析研判,成功掌握了该攻击木马的入侵原理、最终目的以及控制服务器地址等重要信息,并通过追踪溯源,最终发现散布木马的作案元凶。

目前,在多地警方的统一部署与通力配合下,作案人员已被绳之以法,关于案件的后续侦办正在有序推进中。


犯罪团伙周转多地散布病毒

汉中、咸阳、西安等网吧频现木马危机


警方在接到报案后,前往多家事发网吧对服务器进行勘验;在调取近期监控视频和上机记录的过程中,发现木马植入几分钟前,存在可疑人员使用虚假身份证开机操作,并在几分钟后结账下机。

根据该虚拟身份进行轨迹核查得知,犯罪嫌疑人5月23日由四川简阳出发,乘坐动车、飞机途经汉中、咸阳、西安等地,并在沿途网吧皆完成植马操作。

360安全大脑在整合警方提供信息后发现,不法分子主要通过线上招募的方式,安排大量人员前往不同地区的网吧门店,使用客户机来攻击网吧服务器,且通常只上机5分钟左右就离开,行踪十分隐蔽。

同时,为了拓展犯罪行径,作案人员在进行线上招募时,主要通过在社交软件上发布一些诱人的“小广告”,来吸引一些想赚外快的代理人员,帮助他们完成网吧攻击木马的投放。

因此,存在多个作案帮手同样按照一定路线到沿途网吧,使用远程控制软件进行植马,广州、合肥、成都等多地网吧皆沦为攻击目标。

360安全大脑在进一步的分析研判后发现,作案团伙如此大动干戈的种植木马,并非企图利用网吧电脑进行非法挖矿,而仅是为了盗取网吧玩家的游戏账户。目前,警方已抓获作案团伙管理人员,并发现涉案人员20余人,在多省市网吧非法植马。


吸睛福利诱导用户下载使用

“网游加速器”成盗号木马藏身之所


在对该木马攻击进行追踪溯源后,根据已成功掌握的入侵原理、最终目的以及控制服务器地址等重要信息,360安全大脑分析出了该作案团伙的整体运行流程。其中,作案团伙利用多样的攻击方法,对“易乐游”、“网维大师”和“云更新”3种主流网吧管理平台实施入侵,从而完成了大规模的网吧植马。

通过360安全大脑关联“STUpdater.exe”木马相关的攻击链,快速定位到了网吧攻击木马的传播载体是一款经过修改的“熊猫加速器”。有意思的是,该软件安装完成后,会通过“网吧安装激活送奖励”等福利提示,将自己包装成看似正常推广的“合法”软件,来吸引用户使用。

而实际上,安装目录里会添加一个捆绑的木马模块“wke.dll”,该模块利用DLL侧加载技术在熊猫加速器主程序启动时自动运行。运行后首先会检测网吧环境和资质,验证通过后就联网下载攻击网吧服务器的工具,联网时会附带传播载体的渠道号(内置于每个传播软件中,本例为“1986”)方便区分和控制。

攻击工具主要针对3种主流的网吧管理平台,分别是“易乐游”、“网维大师”和“云更新”。针对每种平台使用的攻击方法各有差异,且部分平台甚至存在多种攻击方法,但攻击原理其实都是利用平台的漏洞来向网吧服务器上传木马模块“AppRead.exe”。

比如针对“易乐游”平台包含2种攻击方法,其中一种是直接向该平台的特定服务端口发送构造数据后,实现了服务器木马的植入和启动。

“AppRead.exe”木马存在两种不同类型的版本,但本质上都是一个包含远控功能的后门。比如其中一版自制的简易后门使用内置C&C列表分别尝试远程连接进行上线,成功后则循环等待接收控制端指令。

另外一版除了包含Gh0st远控模块,还会下载一个驻留更新的程序“STUPdater.exe”,该程序使用计划任务在每天中午12点左右自动运行。

攻陷大量的网吧服务器后,作案团伙在6月7号左右开始下发一套盗取游戏账号的木马程序“Mount.exe”,该程序负责将核心盗号模块“zlib1.dll”植入到网吧客户端运行。

盗号模块“zlib1.dll”内嵌一个模块“PersonCard.dll”,PDB路径信息为“H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盗取QQ密码的木马。该模块通过检测窗口类名称来查找相关的进程,并注入盗号代码到对应的进程中执行,数据回传的C&C地址为“123.56.86.25”。

在协助抓捕作案人员的过程中,360安全大脑根据网吧服务器木马使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查询whois域名注册信息,发现注册人出自同一可疑人员,注册时间与该案件发生时间段也比较吻合。

而后,360安全大脑结合安全大数据追踪溯源,最终关联锁定该木马病毒作者。


360安全大脑协助追捕作案元凶

切忌沉迷游戏踏上犯罪不归途


也许是过分沉迷游戏世界,该木马作者社交软件个人说明中收藏的github链接,表明其也在研究一些网络游戏的内核代码,但最终还是走向了偷盗游戏账号的违法犯罪之路。

不得不说,适量游戏可以有效缓解日常生活中的压力,但如果过度沉迷游戏,甚至因此而走向犯罪之路,显然得不偿失。针对此次入侵网吧服务器的病毒木马,360安全大脑已实施全面拦截和查杀,为避免这类攻击态势再度蔓延,建议广大用户做好以下防护措施:

1、及时前往weishi.360.cn,下载安装360安全卫士,强力拦截查杀各类病毒木马;

2、使用360软件管家下载软件,360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全;

3、提高安全意识,为个人电子账户设置强密码和多重验证;

4、定期检测系统和软件中的安全漏洞,及时打上补丁。


0x05 附录IOC

文件哈希

5a3a410e139eed6652c9e71ea625de29              熊猫加速器.exe

e0c8a4c5149c91b9cc8afb84e0d5fcc8         wke.dll

a267d46932c1b39519142bb4cfad465a               AppRead.exe

eebb08efff13dd2100fbc81513c6c671         STUPdater.exe

9a640d97be9f7af1ad7122ce3e43c74f         Mount.exe

c25442259c70d23f501907b2174c6a35               zlib1.dll

2444596d72942cdbb9944c14050a2be2     PersonCard.dll

C&C

123.56.86.25

47.110.10.104

www.swjoy.org

www.barserver.cn

128.1.137.26.ipssh.net

0x06 参考链接

https://www.shykx.com/category/416.html

https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg

https://bbs.txwb.com/thread-2080252-1.html