2020年6月,警方破獲一起大規模網咖非法植馬案件,該案件主要為透過上機植馬的方式,向多家網咖伺服器植入“STUpdater.exe”木馬,並對網咖伺服器及主機進行遠端控制,從而盜取大量遊戲賬號;在進一步確認後發現,廣州、合肥、成都等多地網咖也接連出現類似情形,對網路安全造成巨大危害,嚴重擾亂了社會秩序。
360安全大腦在接到警方協助偵查需求後,結合安全大資料分析研判,成功掌握了該攻擊木馬的入侵原理、最終目的以及控制伺服器地址等重要資訊,並透過追蹤溯源,最終發現散佈木馬的作案元兇。
目前,在多地警方的統一部署與通力配合下,作案人員已被繩之以法,關於案件的後續偵辦正在有序推進中。
犯罪團伙週轉多地散佈病毒
漢中、咸陽、西安等網咖頻現木馬危機
警方在接到報案後,前往多家事發網咖對伺服器進行勘驗;在調取近期監控影片和上機記錄的過程中,發現木馬植入幾分鐘前,存在可疑人員使用虛假身份證開機操作,並在幾分鐘後結賬下機。
根據該虛擬身份進行軌跡核查得知,犯罪嫌疑人5月23日由四川簡陽出發,乘坐動車、飛機途經漢中、咸陽、西安等地,並在沿途網咖皆完成植馬操作。
360安全大腦在整合警方提供資訊後發現,不法分子主要透過線上招募的方式,安排大量人員前往不同地區的網咖門店,使用客戶機來攻擊網咖伺服器,且通常只上機5分鐘左右就離開,行蹤十分隱蔽。
同時,為了擴充犯罪行徑,作案人員在進行線上招募時,主要透過在社交軟體上釋出一些誘人的“小廣告”,來吸引一些想賺外快的代理人員,幫助他們完成網咖攻擊木馬的投放。
因此,存在多個作案幫手同樣按照一定路線到沿途網咖,使用遠端控制軟體進行植馬,廣州、合肥、成都等多地網咖皆淪為攻擊目標。
360安全大腦在進一步的分析研判後發現,作案團伙如此大動干戈的種植木馬,並非企圖利用網咖電腦進行非法挖礦,而僅是為了盜取網咖玩家的遊戲賬戶。目前,警方已抓獲作案團伙管理人員,並發現涉案人員20餘人,在多省市網咖非法植馬。
吸睛福利誘導使用者下載使用
“網遊加速器”成盜號木馬藏身之所
在對該木馬攻擊進行追蹤溯源後,根據已成功掌握的入侵原理、最終目的以及控制伺服器地址等重要資訊,360安全大腦分析出了該作案團伙的整體執行流程。其中,作案團伙利用多樣的攻擊方法,對“易樂遊”、“網維大師”和“雲更新”3種主流網咖管理平臺實施入侵,從而完成了大規模的網咖植馬。
透過360安全大腦關聯“STUpdater.exe”木馬相關的攻擊鏈,快速定位到了網咖攻擊木馬的傳播載體是一款經過修改的“熊貓加速器”。有意思的是,該軟體安裝完成後,會透過“網咖安裝啟用送獎勵”等福利提示,將自己包裝成看似正常推廣的“合法”軟體,來吸引使用者使用。
而實際上,安裝目錄裡會新增一個捆綁的木馬模組“wke.dll”,該模組利用DLL側載入技術在熊貓加速器主程式啟動時自動執行。執行後首先會檢測網咖環境和資質,驗證透過後就聯網下載攻擊網咖伺服器的工具,聯網時會附帶傳播載體的渠道號(內建於每個傳播軟體中,本例為“1986”)方便區分和控制。
攻擊工具主要針對3種主流的網咖管理平臺,分別是“易樂遊”、“網維大師”和“雲更新”。針對每種平臺使用的攻擊方法各有差異,且部分平臺甚至存在多種攻擊方法,但攻擊原理其實都是利用平臺的漏洞來向網咖伺服器上傳木馬模組“AppRead.exe”。
比如針對“易樂遊”平臺包含2種攻擊方法,其中一種是直接向該平臺的特定服務埠傳送構造資料後,實現了伺服器木馬的植入和啟動。
“AppRead.exe”木馬存在兩種不同型別的版本,但本質上都是一個包含遠控功能的後門。比如其中一版自制的簡易後門使用內建C&C列表分別嘗試遠端連線進行上線,成功後則迴圈等待接收控制端指令。
另外一版除了包含Gh0st遠控模組,還會下載一個駐留更新的程式“STUPdater.exe”,該程式使用計劃任務在每天中午12點左右自動執行。
攻陷大量的網咖伺服器後,作案團伙在6月7號左右開始下發一套盜取遊戲賬號的木馬程式“Mount.exe”,該程式負責將核心盜號模組“zlib1.dll”植入到網咖客戶端執行。
盜號模組“zlib1.dll”內嵌一個模組“PersonCard.dll”,PDB路徑資訊為“H:\股票資訊\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盜取QQ密碼的木馬。該模組透過檢測視窗類名稱來查詢相關的程式,並注入盜號程式碼到對應的程式中執行,資料回傳的C&C地址為“123.56.86.25”。
在協助抓捕作案人員的過程中,360安全大腦根據網咖伺服器木馬使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查詢whois域名註冊資訊,發現註冊人出自同一可疑人員,註冊時間與該案件發生時間段也比較吻合。
而後,360安全大腦結合安全大資料追蹤溯源,最終關聯鎖定該木馬病毒作者。
360安全大腦協助追捕作案元兇
切忌沉迷遊戲踏上犯罪不歸途
也許是過分沉迷遊戲世界,該木馬作者社交軟體個人說明中收藏的github連結,表明其也在研究一些網路遊戲的核心程式碼,但最終還是走向了偷盜遊戲賬號的違法犯罪之路。
不得不說,適量遊戲可以有效緩解日常生活中的壓力,但如果過度沉迷遊戲,甚至因此而走向犯罪之路,顯然得不償失。針對此次入侵網咖伺服器的病毒木馬,360安全大腦已實施全面攔截和查殺,為避免這類攻擊態勢再度蔓延,建議廣大使用者做好以下防護措施:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力攔截查殺各類病毒木馬;
2、使用360軟體管家下載軟體,360軟體管家收錄萬款正版軟體,經過360安全大腦白名單檢測,下載、安裝、升級,更安全;
3、提高安全意識,為個人電子賬戶設定強密碼和多重驗證;
4、定期檢測系統和軟體中的安全漏洞,及時打上補丁。
0x05 附錄IOC
檔案雜湊
5a3a410e139eed6652c9e71ea625de29 熊貓加速器.exe
e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll
a267d46932c1b39519142bb4cfad465a AppRead.exe
eebb08efff13dd2100fbc81513c6c671 STUPdater.exe
9a640d97be9f7af1ad7122ce3e43c74f Mount.exe
c25442259c70d23f501907b2174c6a35 zlib1.dll
2444596d72942cdbb9944c14050a2be2 PersonCard.dll
C&C
123.56.86.25
47.110.10.104
www.swjoy.org
www.barserver.cn
128.1.137.26.ipssh.net
0x06 參考連結
https://www.shykx.com/category/416.html
https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg
https://bbs.txwb.com/thread-2080252-1.html