技術分析:線上棋牌遊戲的木馬“集結號”

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2015/08/22 9:20

0x00 概況


集結號遊戲中心是一款擁有較高人氣的棋牌遊戲平臺,包含百餘款潮流性競技休閒遊戲,如鬥地主、三國賽馬、港式五張、對殺牛牛、捕魚達人等。360網際網路安全中心近期捕獲到大量偽裝該遊戲平臺的虛假安裝包,這些安裝包內預置了木馬病毒,並採用多種技術手段對抗防毒軟體的檢測查殺,本文將對其推廣渠道、對抗手段以及木馬行為進行全盤分析。

0x01 推廣渠道


偽裝“集結號遊戲中心”的木馬傳播方式可以總結出以下三個特點:

  1. 針對國內主流搜尋引擎,採取競價排名推廣,使得帶有木馬的虛假遊戲中心網頁在搜尋結果中排在前面,容易被遊戲玩家搜尋下載到;
  2. 木馬作者高度模仿官方網站,普通網友完全無法辨別真假網站;
  3. 從木馬樣本分析來看,木馬作者具有比較豐富的殺軟對抗經驗,應該是黑產“老手”;

分析過程中,測試人員發現不光“集結號遊戲中心”搜尋結果的第一頁有多個木馬連結,甚至搜“集吉號遊戲中心”等相似關鍵詞也會中招。點選連結進入頁面,會發現虛假頁面與官方網站(www.jjhgame.com)幾乎一樣,某些域名與官網也高度相似,如www.jjhgwame.com、www.jjhgtame.com、 www.jjgqne.com等。可以看出,木馬為了推廣下了不少本錢。如下圖1所示:

enter image description here

點選上圖中第二項搜尋結果www.jjhgqne.com,頁面被重定向至jjhgames.jjhgqne.com:81,見下圖2,重定向頁面是一個釣魚頁面,和官網風格完全一樣(見圖3),但其頁面上的連結都指向自身(href=’#’),僅網咖版、精簡版按扭指向待下載的重打包木馬安裝包

enter image description here

與此同時,在集結號遊戲官方網站發現,遊戲官方也提示近期在百度搜尋中出現大量虛假頁面,建議使用者認清官網地址http://www.jjhgame.com防止上當受騙。如下圖3所示:

enter image description here

測試發現,木馬作者註冊的釣魚頁面內容幾乎一樣,而重新打包的安裝包裡木馬混白技術也相似,推測所有釣魚頁面出自同一作者之手。作者註冊大量與官網jjhgame相似的域名,並偽造相同的頁面,用以傳播推廣木馬。

0x02 混淆對抗


接下來,我們下載官方安裝包及多個木馬安裝包進行對比分析,透過分析發現木馬作者在不同安裝包中使用多種手法進行對抗,試圖躲避防毒軟體的查殺,總結主要包括下面4種對抗手段:

1 劫持原安裝包中Download.dll,將原Download.dll修改為game.dll名,在惡意Download.dll中重新載入game.dll;如下圖7所示:

enter image description here

從檔案日期可以看出,Download.dll是2015年7月27號生成,說明該木馬作者依舊很活躍。木馬檔案Download.dll匯出了與game.dll中相同的函式CreateDownloadService,該DLL函式會在GamePlaza.exe被載入呼叫;圖8展示了Download.dll劫持手法:

enter image description here

圖8-Download劫持手法

2 使用StudyPE新增新的匯入表項Gamejjh.dll,透過該方式StudyPE會在PE結構中新增.newimp節,將需要的DLL及其函式字串寫入其中,並在IAT表中新增相應的匯入表項。 原GamePlaza.exe並未匯入Gamejjh.dll。如下圖9、圖10所示是被修改後的GamePlaza.exe主程式:

enter image description here

圖9-匯入目錄

enter image description here

圖10-新增節資訊

3 修改ComService.dll,Inline Hook DllEntryPoint函式,函式入口強制JMP到TEXT節最後,在該處進行DLL(虛假msvcrt8.dll) 載入。

下圖11展示了木馬強制跳轉至其惡意程式碼的截圖:

enter image description here

圖11-載入惡意程式碼

4 透過細微修改原版GameUpdate.exe,AutoUpdate.exe, login.ini檔案,Patch原版遊戲中心的升級路徑,對抗查殺。原官方版本的login.ini檔案內容如下圖12:

enter image description here

圖12-官方配置檔案( login.ini)

重打包後木馬安裝包裡的login.ini檔案如下圖13:

enter image description here

圖13-病毒配置檔案( login.ini)

透過分析發現欄位UpdateIp在原版的GameUpdate、AutoUpdate程式裡都會使用,木馬作者一方面修改GameUpdate裡對UpdateIp的引用為UphostIp,使其能正常工作,另一方面Nop掉AutoUpdate裡的MessageBox函式,使其靜默下載update.iiibbbvv.com:81的木馬安裝包升級。

除上述4種手段外,測試還發現大量其他手段,其方式和上述差不多,如修改zip.dll檔案IAT表,注入d3dx9_53.dll;劫持NetWorkService.dll等。

0x03 木馬分析


1 Download.dll盜號木馬

該木馬透過劫持集結號遊戲中心的正常Download.dll程式啟動,原檔案284KB,病毒程式309KB。該DLL啟動起來後載入common.dll檔案,並呼叫其ifconfig函式,接著從GamePlaza.exe和PropertyModule.dll中搜尋特殊位元組串,並hook帳號密碼處理函式等。程式程式碼如下圖14所示:

enter image description here

圖14-盜號木馬

下文依次截圖展示hook帳號輸入的過程:

1)木馬從地址空間0x401000開始搜尋特徵串0FB6D085D27422C7,定位到相應地址並儲存;見下圖15所示:

enter image description here

圖15-搜尋特徵串

2)Hook相應前一步搜尋到的地址的程式碼,在獲取輸入帳號後呼叫木馬自身函式get_account,該函式內部將帳號傳送至木馬作者伺服器;如圖16所示。

enter image description here

圖16-hook函式

搜尋對應的位元組串,在GamePlaza.exe中找到相應位置如下圖,可以看出這裡是GamePlaza帳號登陸處理函式:如圖17所示。

enter image description here

圖17-登陸函式

2 Common.dll後門

在盜號Download.dll中載入本DLL,呼叫其ifconfig函式;該程式是一個Gh0st改寫的後門程式,從雲端獲取配置資訊、監聽本地埠、註冊服務、新增自啟動、檢測防毒軟體等;

enter image description here

圖18-Gh0st後門

0x04 其他資訊


據分析,這些虛假的遊戲中心釣魚網站均使用虛假的個人資訊進行域名註冊,變化頻繁,沒有實際意義。調查發現,病毒木馬的黑產團伙除了針對集結號遊戲平臺發起攻擊外,還會對市面各類遊戲中心使用類似的手法進行攻擊,如辰龍游戲中心、906遊戲中心等。此外,團伙還會開發各種外掛、工具,如鳳凰遊戲、劍俠情緣等遊戲外掛,由此可以推測,該團伙研發的各種盜號、遠控木馬還可能透過其研發的外掛進行傳播。

如圖19所示,我們再次在百度中搜尋辰龍游戲中心,第一項是官方網址,而之後連續三個全是釣魚頁面。

從搜尋第一項和第二項可以明顯看出,木馬作者依舊採用老方法註冊相似的域名(官網cl059.com,釣魚網址cl0579.zj、cl0559.aliapp)欺騙使用者,偽造頁面與官網完全一樣。

enter image description here

圖19-辰龍游戲中心搜尋結果

0x05 防範措施


線上棋牌這類休閒遊戲,儘管遊戲官方可能不允許現金交易,但是透過第三方交易手段,現實中的貨幣和遊戲中貨幣是可以互相兌換的。這類遊戲都含有賭博成分在裡面,甚至有的本身就是賭博,容易讓玩家沉迷其中,不能自拔,所以很多木馬團伙就打這上面的主意。

木馬作者大量購買域名,與官方棋牌遊戲相似度極高,又透過搜尋競價排名推廣,對普通玩家來說極具迷惑性。在此我們建議遊戲玩家:不要輕信搜尋結果!認準官網域名再訪問,不要從第三方網站下載安裝包。同時電腦注意開啟安全軟體,遇到危險警報時要按提示清除木馬,否則不僅會損害遊戲賬號安全,電腦還可能被不法分子完全控制,有可能造成更嚴重的後果。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章