就在今年上半年,456遊戲大廳還是金錢的代名詞。一個看起來並不起眼的遊戲平臺,註冊用戶卻達2000餘萬,每天獲利最高可達100餘萬。這樣的一個遊戲大廳,必然是各路木馬的兵家必爭之地。於是針對456遊戲大廳的各種盜號木馬、遠控木馬也都層出不窮。作為一家網際網路安全公司,我們當然也是一直在和各類木馬作者不斷地對抗。怎奈金錢的利益太過誘人,雖然被我們步步緊逼,但木馬作者卻也從未停止過自己的腳步。
但到今年4月16日,有關456遊戲的一切活動戛然而止……
溫州龍灣警方將這宗涉案金額堪比全省一年GDP的特大網絡開設賭場案破獲,涉案人員被抓,456遊戲大廳也正式宣告倒臺。皮之不存,毛將焉附——依附於456遊戲存在的無數木馬作者也都跟著銷聲匿跡了。我們這些網際網路安全工作者們仿佛也可以鬆一口氣了。
似曾相識
近日接到用戶舉報說搜索的時候遇到了一個虛假的670遊戲大廳,我們便按照用戶的描述找到了這個遊戲大廳
而一打開這個所謂的「670遊戲」的主頁,我就感覺不對勁了——這不就是456遊戲大廳的主頁嗎?
將主頁頁面上掛的遊戲平臺下載回來之後安裝……果然——除了改了幾個標題之外,Game456和456遊戲的名字還是隨處可見
安裝完成後,會在桌面上生成一個「670遊戲大廳」的快捷方式
——直到此時,這個程序還僅僅只是停留在一個簡單的「山寨456遊戲大廳」的層面,並沒有實質的惡意行為。
詭異的快捷方式
點開該快捷方式的屬性,乍一看去仿佛還挺正常,但習慣性的用滑鼠圈了一下「目標」一欄——怎麼這麼長!遂將完整目標路徑複製下來:
「C:\Program Files\KaiLian Tech\670遊戲\UpdatLobby.exe」plat.mod「C:\Program Files\KaiLian Tech\670遊戲\Lobby.exe」
快捷方式
定位到目標文件,是一個隱藏的UploadLobby.exe程序,參數則是同樣隱藏的Plat.mod文件和真正的遊戲大廳主程序lobby.exe
驚現Auto456
UpdatLobby.exe這個程序帶有數字籤名「AutoIt Consulting Ltd」。
看到這相信很多人都明白了——這是一個AutoIt的解釋器——用於解釋用AutoIt語言寫成的自動化腳本。那麼很顯然,他指向的Plat.mod就是一個自動化腳本。
不出意料,這個腳本是經過編碼的,也就是一個a3x腳本,我們用工具將其轉為文本的au3文本——一個多大1800餘行的腳本出現在我的眼前。
同樣不出意料的,我在腳本中看到了這樣的一個久違的變量名——」456exepath」:
而這種利用AutoIt執行惡意代碼的手法在456遊戲的時代就曾經出現過——我們稱其為「Auto456」。
腳本分析
觀其1800餘行的腳本,封裝了大量的WinAPI和GDI+函數。也正是依賴大量的WinAPI的調用,這個AutoIt的腳本實現了一個原本應該是經過編譯的可執行程序才會有的強大功能。(以下僅列出其中部分)
M@KR(V0}YCQIB}~S4SJNG{W.jpg (71.23 KB,下載次數: 0)
下載附件
1小時前上傳
腳本一開始便給出了作者的遠程伺服器域名,但看起來很亂:
P@NPE8{RW7C48VU2ON8Q_K4.jpg (14.55 KB,下載次數: 0)
下載附件
1小時前上傳
但其實裡面只有兩個域名「yx****.com」和「ggy****.com」(處於安全考慮,隱去了域名中的部分字符)。而其他部分則都是這兩個真實域名下屬的子域名。猜測是用來迷惑和誤導分析人員的。
然後就是收集用戶當前的信息
比如本地IP(注釋為本文作者添加,下同)
K)_@SF7WAMKPMT@H}9$CC)L.jpg (19.74 KB,下載次數: 0)
下載附件
1小時前上傳
檢查用戶機器上是否有正在運行的安全軟體
IUZTHULJPENFN@F$DHKYOB4.jpg (61.2 KB,下載次數: 0)
下載附件
1小時前上傳
以及用戶的系統版本等信息
CWYCX`M8_FI27IA}~RB[X.jpg (44.58 KB,下載次數: 0)
下載附件
1小時前上傳
收集到這些信息之後會作為第一個數據包打包發送給木馬作者的收信伺服器,作為記錄。
收集完這些基礎信息之後,才是病毒的真正主體——一個長達300多行的死循環。
正是這個死循環,在監視著用戶的一舉一動。
比如每隔一段時間(循環500次)就會檢查一遍放在桌面上的快捷方式是否正常(是否依然指向病毒),如果不正常了就修復一下,並通知伺服器修復了快捷方式。而如果腳本一段時間內(循環3500次)沒有發現你做過什麼有價值的事情,也會定點向伺服器報告一下當前置頂的窗口標題是什麼。甚至當你需要註冊的時候,木馬都會為你貼心的準備了幾個處理過的窗口貼圖和驗證碼圖案……
當然,作者最想要拿到的,必然還是用戶的帳戶登錄信息。更為嚴重的是——由於此類遊戲平臺涉及大宗的財務交易,所以大多都要求登陸的時候需要輸入本人真實身份證號碼用於驗證。這樣一來,木馬作者竊取的就不僅僅是遊戲資產而已了——也包括了用戶的身份證信息,而這會牽連出多少其他的個人隱私數據,就無法想像了。
PYN8~L~8S`X]}3IBZR25NLH.jpg (30.92 KB,下載次數: 0)
下載附件
1小時前上傳
看到這裡,如果你以為這是一個盜號的自動化腳本,那你就錯了——除了盜號功能外,腳本更主要的功能其實是一個遠控。他可以接收來自木馬作者伺服器的指令,並根據指令進行各種操作
9T5V_(TDMM{OI}}T9)2(7FO.jpg (45.46 KB,下載次數: 0)
下載附件
1小時前上傳
另外,如果下發的指令是一個URL,腳本還會去下載這個URL對應的文件到本地執行。
查殺攔截
由於病毒代碼的執行者其實是AutoIt的解釋器,而這個解釋器本身並非惡意程序(它只是在逐行的解釋並執行腳本裡每一條指令而已),並且也有正規有效的數字籤名。真正含有惡意代碼的腳本文件卻躲在解釋器的後面,不會以獨立進程的形式出現在系統中。
因此導致現在市面上所有的安全軟體中,除360外都無法正常攔截該木馬。所幸的是得益於和456遊戲木馬的長期對抗經驗,360對此類木馬一直是可以有效攔截的
最後也要提醒大家:久賭無勝家——無論是否是木馬,賭博類遊戲,我們就應該遠離。