此文很长,请确保你有足够的耐心看完。
【前言】
从今年4月份开始,各大安全资讯平台频繁出现Steam盗号的技术文章上线,出于个人兴趣爱好以及职业习惯,特意留意过此类技术文章。例如以下,这些是我自己看过有留意的,未留意的估计还有很多。
【分析】
从这些文章的大牛分析过程来看,Steam盗号目前确认的有三个技术手段
1、4月份左右的案例是利用了高危远程执行漏洞,浏览挂马网页后自动运行exe程序然后弹出钓鱼窗口进行盗号。
2、QQkey已经火的不能再火了,在电脑上获取QQkey内容后,可以任意登录这个QQ号码的邮箱、空间等网站,无需密码。
举个板栗
以下为我登录QQ正常浏览器过邮箱或空间抓取出来的记录,其中这段内容里面就包含了key、QQ号码内容,只要有以这个key可以任意一台机器登录邮箱。
既然拿到了QQ号码、也拿到了邮箱,再去Steam网站进行撞库,如果该QQ邮箱绑定了Steam帐号后变就可以发起找回密码请求。
3、8月份在看雪上看到2起通过注入dll到Steam进程里面,hook SteamUI.dll 通过获取控件数据方式拿到明文的帐号、密码(最近比较火的,在易语言的圈子有现成的样本售卖)
能想到这个办法的估计已经是把Steam登录窗口逆向的彻彻底底了。
【试验】
根据上述的例子,我写了一个程序,获取帐号密码非常轻松。测试环境为叛逆猛禽同学的机器,拿到他的帐号密码以及相关文件后,在杭州成功登录并且把令牌给关闭了,Steam登录还有一个设计缺陷就是令牌可以绕过。
获取完帐号密码后绕过令牌直接在杭州登录
关闭安全令牌
【探索】
1、其实我们很奇怪,为什么盗取Steam帐号的这么火?这里面说开了还是利益,Steam 在网吧火起来以后也诞生了很多租号、道具售卖、帐号销售等诸多业务,但我相信大公司应该不会通过这种途径收号。不过专门供开外挂的人用的黑号很有可能就是来自被盗的帐号。
2、Steam帐号价值才93块,个人被盗都达不到立案标准。其次是Steam公司在国内暂无分公司,已经就属于“无人监管”状态了。
3、既然没有多大后果,市场前景还那么理想,那么就会有这么多问题发生了。
【防范】
当今的网吧机器上软件环境比任何一台家用的环境要复杂的多,Steam如果不能做出改变,在不降低上网网民体验的情况下,防范Steam盗号几乎是不可能。这个不可能的原因很大程度是Steam运营团队还不清楚网吧的真实软件环境,但能尽可能减少Steam盗号还是有可能。
1、网吧机器配套安装运行windowsmonitor软件记录行为日志,防止网民私自运行外挂带来的风险。
2、网吧客户机操作系统尽量试用行业内信得过的品牌,例如死性不改、顺系统等。
3、定期留意微软系统更新中包含IE远程执行漏洞风险的补丁(非常重要),可以关注本公众号留意这类安全资讯。
4、使用去广告产品时,需要用正规、有官网、有客服、有售后的软件,不要用轮上的某些exe、某些dll。
5、维护公司在考虑做租号业务、流量增值业务(首页、图标这类)一定要选择信得过的而不是利润高的公司,在6月份的时候已经抓到过国内某租号平台跟增值联盟的程序存在窃取帐号密码的行为,但是不是恶意的就无法得知了。
【补充】
文章所提案例链接请点击阅读原文后进行查阅。
本文为个人观点分析与技术研究,欢迎探讨。
【我们不一定每天发文章,但所发的技术文章都会让你开拓知识视角,赶紧关注把】
【我们不一定每天发文章,但所发的技术文章都会让你开拓知识视角,赶紧关注把】
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日