admin管理员组

文章数量:1661528

盗号手机照片都能看到吗/【外挂分析】Steam盗号木马告警_小白攻防记录贴

近期,笔者所在的QQ群有多名网友反馈Steam账号被盗或者冻结,疑似中了盗号木马笔者无意往前翻群聊天记录,发现疑似群内有人故意传播盗号木马

该网盘以免费分享收费的辅助破解版为噱头,吸引了大量的想要尝试神秘力量的网友中招这些欲使用辅助的网友既是受害者,又是未遂的加害者这里我们随便找一款辅助来测试一下是否真的是因此网盘盗号(以网盘内千里眼插件测试)下载后解压,然后运行,发现报错,通过分析得知,木马释放器伪装成原辅助名字,运行后释放到:C:\Users\\\目录下一个是真正的插件,一个是未知的文件 mm.exe(实际为Steam盗号木马)

这里,我们将报错的原文件放回文件目录,此时游戏辅助可以正常启动,这里已经提示更新了,当然这不重要捆绑木马的人可能根本没认真看过原程序,导致连过期的程序都没法跑起来

再来看看mm.exe这里推荐一下火绒剑,UI很友好,分析很方便,过滤进程只捕获mm.exe的事件过滤事件,我们先看看联网干了些什么

访问了两个网址:

到了这里基本上可以确定这个mm.exe就是Steam盗号木马本尊了由上面的信息,笔者推断,此盗号木马已形成产业链,上面的信息文本是给下级传播者的后台公告,下面的则是此网盘木马客户端的后台,负责控制接受QQ邮件,在用户激活木马利用邮箱key漏洞接受受害者所有邮件,这里特别指明一点:一般用户的Steam账号都是QQ邮件,当盗号者进入受害者的邮箱后是很容易盗取受害者的Steam账号的

产业示意图

该木马还会修改注册表启动项,伪装微软安全验证骗过一些没有经验的用户达到循环盗号

此木马还有对键鼠下钩子的操作,这里可以使用哈勃/魔盾来分析在笔者准备使用静态分析技术解剖此病毒时,发现腾讯电脑管家可以精准查杀此木马,所以本次分析就到此为止

有点意外的是,QQ群内被盗号的同学,开启了火绒缺没有捕捉到此木马,经测试,火绒确实无法查杀此木马,版本号:4.0.69.13 (非水军,实验后证明)

总结:现阶段的杀毒软件保护技术已经日趋成熟,病毒木马的存活空间越来越窄,作为游戏玩家,使用游戏辅助外挂必将受到游戏Anti cheat的惩罚,更不应该听信这些所谓的免费外挂,维护网游环境,人人有责。关于Steam账号安全防护的几点建议:1. 设置QQ邮箱独立密码2. Steam账号绑定手机令牌3. 拒绝使用未知来源的游戏外挂

~

网络安全学习,我们一起交流

~

本文标签: 盗号都能攻防外挂木马

版权声明:本文标题:盗号手机照片都能看到吗【外挂分析】Steam盗号木马告警_小白攻防记录贴 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729925872a1216500.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。