2020年6月，警方破獲一起大規模網咖非法植馬案件，該案件主要為透過上機植馬的方式，向多家網咖伺服器植入“STUpdater.exe”木馬，並對網咖伺服器及主機進行遠端控制，從而盜取大量遊戲賬號；在進一步確認後發現，廣州、合肥、成都等多地網咖也接連出現類似情形，對網路安全造成巨大危害，嚴重擾亂了社會秩序。

360安全大腦在接到警方協助偵查需求後，結合安全大資料分析研判，成功掌握了該攻擊木馬的入侵原理、最終目的以及控制伺服器地址等重要資訊，並透過追蹤溯源，最終發現散佈木馬的作案元兇。

目前，在多地警方的統一部署與通力配合下，作案人員已被繩之以法，關於案件的後續偵辦正在有序推進中。

犯罪團伙週轉多地散佈病毒

漢中、咸陽、西安等網咖頻現木馬危機

警方在接到報案後，前往多家事發網咖對伺服器進行勘驗；在調取近期監控影片和上機記錄的過程中，發現木馬植入幾分鐘前，存在可疑人員使用虛假身份證開機操作，並在幾分鐘後結賬下機。

根據該虛擬身份進行軌跡核查得知，犯罪嫌疑人5月23日由四川簡陽出發，乘坐動車、飛機途經漢中、咸陽、西安等地，並在沿途網咖皆完成植馬操作。

360安全大腦在整合警方提供資訊後發現，不法分子主要透過線上招募的方式，安排大量人員前往不同地區的網咖門店，使用客戶機來攻擊網咖伺服器，且通常只上機5分鐘左右就離開，行蹤十分隱蔽。

同時，為了擴充犯罪行徑，作案人員在進行線上招募時，主要透過在社交軟體上釋出一些誘人的“小廣告”，來吸引一些想賺外快的代理人員，幫助他們完成網咖攻擊木馬的投放。

因此，存在多個作案幫手同樣按照一定路線到沿途網咖，使用遠端控制軟體進行植馬，廣州、合肥、成都等多地網咖皆淪為攻擊目標。

360安全大腦在進一步的分析研判後發現，作案團伙如此大動干戈的種植木馬，並非企圖利用網咖電腦進行非法挖礦，而僅是為了盜取網咖玩家的遊戲賬戶。目前，警方已抓獲作案團伙管理人員，並發現涉案人員20餘人，在多省市網咖非法植馬。

吸睛福利誘導使用者下載使用

“網遊加速器”成盜號木馬藏身之所

在對該木馬攻擊進行追蹤溯源後，根據已成功掌握的入侵原理、最終目的以及控制伺服器地址等重要資訊，360安全大腦分析出了該作案團伙的整體執行流程。其中，作案團伙利用多樣的攻擊方法，對“易樂遊”、“網維大師”和“雲更新”3種主流網咖管理平臺實施入侵，從而完成了大規模的網咖植馬。

透過360安全大腦關聯“STUpdater.exe”木馬相關的攻擊鏈，快速定位到了網咖攻擊木馬的傳播載體是一款經過修改的“熊貓加速器”。有意思的是，該軟體安裝完成後，會透過“網咖安裝啟用送獎勵”等福利提示，將自己包裝成看似正常推廣的“合法”軟體，來吸引使用者使用。

而實際上，安裝目錄裡會新增一個捆綁的木馬模組“wke.dll”，該模組利用DLL側載入技術在熊貓加速器主程式啟動時自動執行。執行後首先會檢測網咖環境和資質，驗證透過後就聯網下載攻擊網咖伺服器的工具，聯網時會附帶傳播載體的渠道號（內建於每個傳播軟體中，本例為“1986”）方便區分和控制。

攻擊工具主要針對3種主流的網咖管理平臺，分別是“易樂遊”、“網維大師”和“雲更新”。針對每種平臺使用的攻擊方法各有差異，且部分平臺甚至存在多種攻擊方法，但攻擊原理其實都是利用平臺的漏洞來向網咖伺服器上傳木馬模組“AppRead.exe”。

比如針對“易樂遊”平臺包含2種攻擊方法，其中一種是直接向該平臺的特定服務埠傳送構造資料後，實現了伺服器木馬的植入和啟動。

“AppRead.exe”木馬存在兩種不同型別的版本，但本質上都是一個包含遠控功能的後門。比如其中一版自制的簡易後門使用內建C&C列表分別嘗試遠端連線進行上線，成功後則迴圈等待接收控制端指令。

另外一版除了包含Gh0st遠控模組，還會下載一個駐留更新的程式“STUPdater.exe”，該程式使用計劃任務在每天中午12點左右自動執行。

攻陷大量的網咖伺服器後，作案團伙在6月7號左右開始下發一套盜取遊戲賬號的木馬程式“Mount.exe”，該程式負責將核心盜號模組“zlib1.dll”植入到網咖客戶端執行。

盜號模組“zlib1.dll”內嵌一個模組“PersonCard.dll”，PDB路徑資訊為“H:\股票資訊\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盜取QQ密碼的木馬。該模組透過檢測視窗類名稱來查詢相關的程式，並注入盜號程式碼到對應的程式中執行，資料回傳的C&C地址為“123.56.86.25”。

在協助抓捕作案人員的過程中，360安全大腦根據網咖伺服器木馬使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查詢whois域名註冊資訊，發現註冊人出自同一可疑人員，註冊時間與該案件發生時間段也比較吻合。

而後，360安全大腦結合安全大資料追蹤溯源，最終關聯鎖定該木馬病毒作者。

360安全大腦協助追捕作案元兇

切忌沉迷遊戲踏上犯罪不歸途

也許是過分沉迷遊戲世界，該木馬作者社交軟體個人說明中收藏的github連結，表明其也在研究一些網路遊戲的核心程式碼，但最終還是走向了偷盜遊戲賬號的違法犯罪之路。

不得不說，適量遊戲可以有效緩解日常生活中的壓力，但如果過度沉迷遊戲，甚至因此而走向犯罪之路，顯然得不償失。針對此次入侵網咖伺服器的病毒木馬，360安全大腦已實施全面攔截和查殺，為避免這類攻擊態勢再度蔓延，建議廣大使用者做好以下防護措施：

1、及時前往weishi.360.cn，下載安裝360安全衛士，強力攔截查殺各類病毒木馬；

2、使用360軟體管家下載軟體，360軟體管家收錄萬款正版軟體，經過360安全大腦白名單檢測，下載、安裝、升級，更安全；

3、提高安全意識，為個人電子賬戶設定強密碼和多重驗證；

4、定期檢測系統和軟體中的安全漏洞，及時打上補丁。

0x05 附錄IOC

檔案雜湊

5a3a410e139eed6652c9e71ea625de29             熊貓加速器.exe

e0c8a4c5149c91b9cc8afb84e0d5fcc8         wke.dll

a267d46932c1b39519142bb4cfad465a             AppRead.exe

eebb08efff13dd2100fbc81513c6c671         STUPdater.exe

9a640d97be9f7af1ad7122ce3e43c74f        Mount.exe

c25442259c70d23f501907b2174c6a35              zlib1.dll

2444596d72942cdbb9944c14050a2be2     PersonCard.dll

C&C

123.56.86.25

47.110.10.104

www.swjoy.org

www.barserver.cn

128.1.137.26.ipssh.net

0x06 參考連結

https://www.shykx.com/category/416.html

https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg

https://bbs.txwb.com/thread-2080252-1.html