RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 解决方案分享 » 正文

Steam盗号案例分析2

选择字号: 超大 标准 技术小哥 发布于2018年10月10日 属于 解决方案分享 栏目  0个评论 4745人浏览

【前言】

顺系统安全团队在国庆节后发现Steam盗号问题爆发式增长,经过数据分析发现仍然是通过hook steamui.dll获取帐号密码,并伴随着获取qqkey做QQ空间转发业务,目前已紧急通知相关厂商做防御处理。


【问题现象】

登录Steam帐号后,经常收到邮件通知密码被修改,如果有登录QQ在这台机器,则会出现空间转发垃圾信息。

微信图片_20181010104153.png

QQ截图20181010104649.jpg


【分析过程】

打开Steam登录窗口发现存在应用钩子,挂钩对象是SteamUI.dll,挂钩位置是6376E7D0

QQ截图20181010105134.jpg


挂钩位置内存地址对应程序是cuic.dll


cuic程序MD5信息

QQ截图20181010105425.jpg


cuic.dll程序挂钩到SteamUI.dll后,通过获取控件数据方式获取Steam帐号。 cuic.dll注入后会检测SteamUI.dll是否存在。

1.png


检测到SteamUII.DLL存在后开始获取登录框的控件, Steam_GetTwoFactorCode_EnterCode控件名称。

2.png


比较成功后可以获取控件的数据。

3.png


发现cuic.dll,是从svchost.exe中写入到Steam的游戏目录。

4.png


PID4820的svchost.exe是由PID1252 Linking.exe释放,Linking.exe的下载服务器地址为222.186.59.229。


Linking.exe分析后为木马的监视程序,监控Steam进程是否存在,如果存在后将Cuic.dll注入进去。

6.png

7.png


强行QQ好友推广
该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

QQ截图20181010112718.jpg

QQ截图20181010112718.jpg


相关技术文章阅读

《浅谈Steam盗号攻防问题》

《Steam盗号案例样本分析》



【我们不一定每天发文章,但所发的技术文章都会让你开拓知识视角,赶紧关注把】

打赏

标签:steam盗号漏洞木马

1
右侧2016一起努力
最新发布的文章
最新评论

公告

十年相伴 值得信赖 需要定制开发、购买加速器可以联系 QQ1368762345,微信同号