特级全黄久久久久久|日韩中文字幕第一页|看黄a大片日本真人视频直播|亚洲精品国产超清

<blockquote id="vopqu"><legend id="vopqu"></legend></blockquote>
    

    1. <b id="vopqu"><meter id="vopqu"></meter></b>
    3. 

        

        


        
	
        
	
        
		中文版
		Global
		
	
        
        
        
            
            
        
        
        
	
        
		
		
        
	
        
	
        

        

        
	
        
		
        
			
			
        
				
        
					
        
						
        
							
						
        
						
						
						
					
        
				
        
				
        
				
        
			
        
		
        
	
        
	

        

        
    
        
        
        
                        
        
                首頁 >
                安全資訊 > 正文
            
        
            
        
                
        
                    
        數(shù)十款游戲被捆綁Steam盜號木馬
        

                    
        
                        
          
                            
        • 2025-03-31 20:05:09
          • 
                            
        • 
                            
        • 
                                                        
                                                    
        
                    
        
                    
        
                        
        情況概述
        近期,360互聯(lián)網(wǎng)安全中心接到用戶反饋稱:在下載并安裝某些游戲后,Steam賬號出現(xiàn)異常,疑似被盜號。經(jīng)技術(shù)溯源分析發(fā)現(xiàn),不法分子通過篡改數(shù)十款熱門游戲安裝包,將惡意Steam盜號木馬程序與正常游戲文件進(jìn)行捆綁。而用戶一旦啟動(dòng)這些游戲,木馬便會同步激活后臺隱藏進(jìn)程實(shí)施盜號行為,具有極高隱蔽性。
        樣本說明
        行為總述
        本次捕獲到的被二次打包的是一款名為“LensLife”的游戲安裝包,我們便以此安裝包為例進(jìn)行分析。本次捕獲到的木馬樣本的攻擊流程簡圖如下:
        圖1. 木馬流程簡圖
        代碼分析
        該樣本的主程序使用了python的cx_Freeze模塊進(jìn)行打包,啟動(dòng)后首先會讀取配置文件library.dat中所指向的壓縮包,并獲取壓縮包中的pyc文件(編譯過后的python腳本):
        圖2. 樣本讀取壓縮包中的python腳本
        將這些pyc文件反編譯成可閱讀的python代碼并進(jìn)行分析,發(fā)現(xiàn)其主要功能為:拷貝執(zhí)行加載器程序Translate.exe以及正常游戲程序LensLife.exe。而此時(shí)執(zhí)行的這個(gè)Translate.exe加載器是由cx_Freeze打包的加載器,其功能取決于加載的library.dat配置文件中所指向的pyc腳本內(nèi)容。該樣本加載了帶有惡意代碼的pyc文件,由于加載器本身并無惡意而加載的載荷又為pyc腳本,因此其行為可能會繞過一些安全軟件的防護(hù)功能。
        樣本執(zhí)行加載器的相關(guān)代碼如下圖所示:
        圖3. 主程序執(zhí)行Translate.exe加載器的相關(guān)代碼
        而在我們的測試,也通過對進(jìn)程樹的監(jiān)控發(fā)現(xiàn)該主程序啟動(dòng)后,會同時(shí)執(zhí)行兩條進(jìn)程鏈,其中一條的功能就是加載并執(zhí)行惡意代碼。
        圖4. 樣本啟動(dòng)后的運(yùn)行進(jìn)程樹?
        而與此同時(shí),另一條進(jìn)程鏈則會執(zhí)行正常的游戲主程序,這也意味著被蒙在鼓里的受害用戶是可以游玩自己下載到的游戲的。
        圖5. 游戲主程序正常啟動(dòng)?
        與此同時(shí),后臺啟動(dòng)的腳本加載器Translate.exe在加載惡意腳本后,會每隔5秒使用tasklist和findstr查找steam.exe進(jìn)程,并通過對內(nèi)存內(nèi)容的搜索來尋找?Steam的Token數(shù)據(jù)。
        圖6. 木馬搜索Steam進(jìn)程并嘗試尋找Token數(shù)據(jù)
        木馬一旦在設(shè)備內(nèi)存中成功獲取到Token后,會進(jìn)一步根據(jù)JWT協(xié)議對數(shù)據(jù)進(jìn)行解碼。最終,將解碼后的數(shù)據(jù)以POST方法回傳到其C2服務(wù)器中(hxxp://124.220.17.177:6678/aerh.php)。
        圖7. 解碼并推送Token數(shù)據(jù)?
        分析人員利用CE對Token進(jìn)行手動(dòng)定位,驗(yàn)證了該功能的可行性。
        圖8. 利用CE驗(yàn)證對Token的定位操作
        之后,我們將定位到的數(shù)據(jù)依據(jù)JWT協(xié)議進(jìn)行解密,其內(nèi)容如下:
        圖9. 依據(jù)JWT協(xié)議解密后的數(shù)據(jù)
        根據(jù)公開信息,解密出的Token信息中包含了用戶的ID、登錄令牌、令牌標(biāo)識符以及各類時(shí)間戳及驗(yàn)證信息。而木馬作者有可能利用這些信息登錄到受害用戶的Steam賬號中并竊取其虛擬財(cái)產(chǎn)。
        關(guān)聯(lián)分析
        經(jīng)過關(guān)聯(lián)分析,發(fā)現(xiàn)有數(shù)十款游戲被重新打包加入惡意盜號木馬,目前發(fā)現(xiàn)的相關(guān)游戲如下:
        圖10. 部分被重新打包加入盜號木馬的游戲名?
        通過對360大數(shù)據(jù)的統(tǒng)計(jì)分析,發(fā)現(xiàn)受害用戶區(qū)域分布如下:
        圖11. 盜號木馬受害用戶分布?
        安全建議
        目前360安全產(chǎn)品可對該木馬進(jìn)行有效防御,建議用戶:
        1.???? 保持安全防護(hù)軟件防護(hù)功能開啟,并及時(shí)更新病毒庫;
        2.???? 避免下載非官方渠道的游戲程序;
        3.???? 定期更新Steam賬號雙重驗(yàn)證機(jī)制。
                            
        
                
        
            
        
            
        
                
        
                    
                        360安全衛(wèi)士
                        
                    
                
        
                
        
                    
        熱點(diǎn)排行
        
                    
                
        
            
        
        
        
        
    
        

        

        
    用戶
      
        反饋        
    返回
      
        頂部