2020年6月,警方破獲一起大規模網吧非法植馬案件,該案件主要為通過上機植馬的方式,向多家網吧伺服器植入「STUpdater.exe」木馬,並對網吧伺服器及主機進行遠程控制,從而盜取大量遊戲帳號;在進一步確認後發現,廣州、合肥、成都等多地網吧也接連出現類似情形,對網絡安全造成巨大危害,嚴重擾亂了社會秩序。
360安全大腦在接到警方協助偵查需求後,結合安全大數據分析研判,成功掌握了該攻擊木馬的入侵原理、最終目的以及控制伺服器地址等重要信息,並通過追蹤溯源,最終發現散布木馬的作案元兇。
目前,在多地警方的統一部署與通力配合下,作案人員已被繩之以法,關於案件的後續偵辦正在有序推進中。
犯罪團夥周轉多地散布病毒
漢中、鹹陽、西安等網吧頻現木馬危機
警方在接到報案後,前往多家事發網吧對伺服器進行勘驗;在調取近期監控視頻和上機記錄的過程中,發現木馬植入幾分鐘前,存在可疑人員使用虛假身份證開機操作,並在幾分鐘後結帳下機。
根據該虛擬身份進行軌跡核查得知,犯罪嫌疑人5月23日由四川簡陽出發,乘坐動車、飛機途經漢中、鹹陽、西安等地,並在沿途網吧皆完成植馬操作。
360安全大腦在整合警方提供信息後發現,不法分子主要通過線上招募的方式,安排大量人員前往不同地區的網吧門店,使用客戶機來攻擊網吧伺服器,且通常只上機5分鐘左右就離開,行蹤十分隱蔽。
同時,為了拓展犯罪行徑,作案人員在進行線上招募時,主要通過在社交軟體上發布一些誘人的「小廣告」,來吸引一些想賺外快的代理人員,幫助他們完成網吧攻擊木馬的投放。
因此,存在多個作案幫手同樣按照一定路線到沿途網吧,使用遠程控制軟體進行植馬,廣州、合肥、成都等多地網吧皆淪為攻擊目標。
360安全大腦在進一步的分析研判後發現,作案團夥如此大動幹戈的種植木馬,並非企圖利用網吧電腦進行非法挖礦,而僅是為了盜取網吧玩家的遊戲帳戶。目前,警方已抓獲作案團夥管理人員,並發現涉案人員20餘人,在多省市網吧非法植馬。
吸睛福利誘導用戶下載使用
「網遊加速器」成盜號木馬藏身之所
在對該木馬攻擊進行追蹤溯源後,根據已成功掌握的入侵原理、最終目的以及控制伺服器地址等重要信息,360安全大腦分析出了該作案團夥的整體運行流程。其中,作案團夥利用多樣的攻擊方法,對「易樂遊」、「網維大師」和「雲更新」3種主流網吧管理平臺實施入侵,從而完成了大規模的網吧植馬。
通過360安全大腦關聯「STUpdater.exe」木馬相關的攻擊鏈,快速定位到了網吧攻擊木馬的傳播載體是一款經過修改的「熊貓加速器」。有意思的是,該軟體安裝完成後,會通過「網吧安裝激活送獎勵」等福利提示,將自己包裝成看似正常推廣的「合法」軟體,來吸引用戶使用。
而實際上,安裝目錄裡會添加一個捆綁的木馬模塊「wke.dll」,該模塊利用DLL側加載技術在熊貓加速器主程序啟動時自動運行。運行後首先會檢測網吧環境和資質,驗證通過後就聯網下載攻擊網吧伺服器的工具,聯網時會附帶傳播載體的渠道號(內置於每個傳播軟體中,本例為「1986」)方便區分和控制。
攻擊工具主要針對3種主流的網吧管理平臺,分別是「易樂遊」、「網維大師」和「雲更新」。針對每種平臺使用的攻擊方法各有差異,且部分平臺甚至存在多種攻擊方法,但攻擊原理其實都是利用平臺的漏洞來向網吧伺服器上傳木馬模塊「AppRead.exe」。
比如針對「易樂遊」平臺包含2種攻擊方法,其中一種是直接向該平臺的特定服務埠發送構造數據後,實現了伺服器木馬的植入和啟動。
「AppRead.exe」木馬存在兩種不同類型的版本,但本質上都是一個包含遠控功能的後門。比如其中一版自製的簡易後門使用內置C&C列表分別嘗試遠程連接進行上線,成功後則循環等待接收控制端指令。
另外一版除了包含Gh0st遠控模塊,還會下載一個駐留更新的程序「STUPdater.exe」,該程序使用計劃任務在每天中午12點左右自動運行。
攻陷大量的網吧伺服器後,作案團夥在6月7號左右開始下發一套盜取遊戲帳號的木馬程序「Mount.exe」,該程序負責將核心盜號模塊「zlib1.dll」植入到網吧客戶端運行。
盜號模塊「zlib1.dll」內嵌一個模塊「PersonCard.dll」,PDB路徑信息為「H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb 」透露其是盜取QQ密碼的木馬。該模塊通過檢測窗口類名稱來查找相關的進程,並注入盜號代碼到對應的進程中執行,數據回傳的C&C地址為「123.56.86.25」。
在協助抓捕作案人員的過程中,360安全大腦根據網吧伺服器木馬使用的C&C地址 「www.swjoy.org」 和「www.barserver.cn」查詢whois域名註冊信息,發現註冊人出自同一可疑人員,註冊時間與該案件發生時間段也比較吻合。
而後,360安全大腦結合安全大數據追蹤溯源,最終關聯鎖定該木馬病毒作者。
360安全大腦協助追捕作案元兇
切忌沉迷遊戲踏上犯罪不歸途
也許是過分沉迷遊戲世界,該木馬作者社交軟體個人說明中收藏的github連結,表明其也在研究一些網路遊戲的內核代碼,但最終還是走向了偷盜遊戲帳號的違法犯罪之路。
不得不說,適量遊戲可以有效緩解日常生活中的壓力,但如果過度沉迷遊戲,甚至因此而走向犯罪之路,顯然得不償失。針對此次入侵網吧伺服器的病毒木馬,360安全大腦已實施全面攔截和查殺,為避免這類攻擊態勢再度蔓延,建議廣大用戶做好以下防護措施:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力攔截查殺各類病毒木馬;
2、使用360軟體管家下載軟體,360軟體管家收錄萬款正版軟體,經過360安全大腦白名單檢測,下載、安裝、升級,更安全;
3、提高安全意識,為個人電子帳戶設置強密碼和多重驗證;
4、定期檢測系統和軟體中的安全漏洞,及時打上補丁。
0x05 附錄IOC
文件哈希
5a3a410e139eed6652c9e71ea625de29 熊貓加速器.exe
e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll
a267d46932c1b39519142bb4cfad465a AppRead.exe
eebb08efff13dd2100fbc81513c6c671 STUPdater.exe
9a640d97be9f7af1ad7122ce3e43c74f Mount.exe
c25442259c70d23f501907b2174c6a35 zlib1.dll
2444596d72942cdbb9944c14050a2be2 PersonCard.dll
C&C
123.56.86.25
47.110.10.104
www.swjoy.org
www.barserver.cn
128.1.137.26.ipssh.net
0x06 參考連結
https://www.shykx.com/category/416.html
https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg
https://bbs.txwb.com/thread-2080252-1.html
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。