RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

Steam盗号案例分析2

选择字号: 超大 标准 顺网小哥 发布于2018年10月10日 属于 问题分享 栏目  2个评论 1019人浏览

【前言】

顺系统安全团队在国庆节后发现Steam盗号问题爆发式增长,经过数据分析发现仍然是通过hook steamui.dll获取帐号密码,并伴随着获取qqkey做QQ空间转发业务,目前已紧急通知相关厂商做防御处理。


【问题现象】

登录Steam帐号后,经常收到邮件通知密码被修改,如果有登录QQ在这台机器,则会出现空间转发垃圾信息。

微信图片_20181010104153.png

QQ截图20181010104649.jpg


【分析过程】

打开Steam登录窗口发现存在应用钩子,挂钩对象是SteamUI.dll,挂钩位置是6376E7D0

QQ截图20181010105134.jpg


挂钩位置内存地址对应程序是cuic.dll


cuic程序MD5信息

QQ截图20181010105425.jpg


cuic.dll程序挂钩到SteamUI.dll后,通过获取控件数据方式获取Steam帐号。 cuic.dll注入后会检测SteamUI.dll是否存在。

1.png


检测到SteamUII.DLL存在后开始获取登录框的控件, Steam_GetTwoFactorCode_EnterCode控件名称。

2.png


比较成功后可以获取控件的数据。

3.png


发现cuic.dll,是从svchost.exe中写入到Steam的游戏目录。

4.png


PID4820的svchost.exe是由PID1252 Linking.exe释放,Linking.exe的下载服务器地址为222.186.59.229。


Linking.exe分析后为木马的监视程序,监控Steam进程是否存在,如果存在后将Cuic.dll注入进去。

6.png

7.png


强行QQ好友推广
该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

QQ截图20181010112718.jpg

QQ截图20181010112718.jpg


相关技术文章阅读

《浅谈Steam盗号攻防问题》

《Steam盗号案例样本分析》



【我们不一定每天发文章,但所发的技术文章都会让你开拓知识视角,赶紧关注把】

标签:steam盗号漏洞木马

公告

已有2位网友发表了看法:

1#访客  2018-10-11 07:09:18 回复该评论
相关进程那来的 ?没有说啊
1#顺网小哥  2018-10-11 11:06:48 回复该评论
不公开涉事厂商是行业规则啊~

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

右侧2016一起努力
最新发布的文章
最新评论
  • 访客

    访客

    抓包工具用的是什么

  • 访客

    访客

    那QQ邮箱还安全吗

  • 阿桂

    阿桂

    来看看长长见识下

  • 访客

    访客

    这个工作怎么用呀。是在网维大

  • 维护小武

    维护小武

    这个工具怎么还会创建一个st

公告