Steam盗号案例分析2

选择字号： 超大 标准 技术小哥 发布于2018年10月10日 属于 解决方案分享 栏目  0个评论 5375人浏览

【前言】

顺系统安全团队在国庆节后发现Steam盗号问题爆发式增长，经过数据分析发现仍然是通过hook steamui.dll获取帐号密码，并伴随着获取qqkey做QQ空间转发业务，目前已紧急通知相关厂商做防御处理。

【问题现象】

登录Steam帐号后，经常收到邮件通知密码被修改，如果有登录QQ在这台机器，则会出现空间转发垃圾信息。

【分析过程】

打开Steam登录窗口发现存在应用钩子，挂钩对象是SteamUI.dll，挂钩位置是6376E7D0

挂钩位置内存地址对应程序是cuic.dll

cuic程序MD5信息

cuic.dll程序挂钩到SteamUI.dll后，通过获取控件数据方式获取Steam帐号。 cuic.dll注入后会检测SteamUI.dll是否存在。

检测到SteamUII.DLL存在后开始获取登录框的控件, Steam_GetTwoFactorCode_EnterCode控件名称。

比较成功后可以获取控件的数据。

发现cuic.dll，是从svchost.exe中写入到Steam的游戏目录。

PID4820的svchost.exe是由PID1252 Linking.exe释放，Linking.exe的下载服务器地址为222.186.59.229。

Linking.exe分析后为木马的监视程序，监控Steam进程是否存在，如果存在后将Cuic.dll注入进去。

强行QQ好友推广
该部分病毒代码执行后，会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持，之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码，如下图所示：

相关技术文章阅读

《浅谈Steam盗号攻防问题》

《Steam盗号案例样本分析》

【我们不一定每天发文章，但所发的技术文章都会让你开拓知识视角，赶紧关注把】

打赏

如果对你有帮助，快赞赏下作者吧。

标签：steam盗号漏洞木马

• 上一篇：网维大师游戏下载到90%后下载速度变0
• 下一篇：解决Steam Launcher停止工作临时办法

猜你喜欢