1. 概述
生活中遊戲娛樂是必不可少的,尤其是競技類的網絡遊戲,吸引著大批的玩家,有的玩家會進行充值購買裝備,而有的玩家則會選擇購買遊戲輔助(或叫遊戲外掛),以達到遊戲娛樂的快感。網上既有收費的遊戲輔助,也有各種免費遊戲輔助,且免費遊戲輔助的量非常大,網上隨便搜索都能找到一堆。為啥會有這麽多免費遊戲輔助呢?是不是網絡上的遊戲輔助作者都是”活雷鋒”呢?其實不然,這些免費遊戲輔助背後都隱藏著玄機。
近期360互聯網安全中心就發現一個專門從事各類免費遊戲輔助的開發或二次打包,並進行推廣的神秘黑客組織。該組織已經將免費遊戲輔助背後的黑產流程化,開發了打包各種遊戲輔助的專用工具(見圖1.1),以實現瀏覽器主頁劫持。這些藏貓膩的免費遊戲輔助遍布國內各大網絡下載站,近一年來劫持次數已達千萬量級,從中牟利也達數百萬。
圖為遊戲輔助打包工具(圖1.1)
這些遊戲輔助全部為綠色版,下載直接運行後,會進行自動更新,更新的過程中會修改用戶電腦桌面上的瀏覽器的快捷方式,劫持用戶電腦的瀏覽器主頁,且在遊戲輔助運行時,會在用戶電腦上進行流氓推廣,用戶電腦上會不知不覺的被裝上各種軟件。其中用戶電腦上瀏覽器劫持到什麽主頁,推廣什麽軟件等等這些行為均被該黑客組織所雲控,且該雲控配置會不定時更新,讓所有的遊戲輔助用戶的電腦成為了他們謀取暴利的工具。由於該黑客組織所傳播的遊戲輔助多大20多種,這裏就不一一分析了,我們以它的“極品輔助盒子”為例,來分析下該黑客組織是如何雲控著他們的黑產謀取暴利的。
2. 極品輔助盒子雲控操作詳細分析
2.1. 極品輔助盒子打包配置:
該極品輔助盒子包含了目前市面上比較熱的8款遊戲(圖2.1.1),該黑客組織通過用他們的專用工具(圖2.1.2),將他們的雲控地址配置入他們遊戲輔助程序中。該黑客組織還有比較成熟的體系,對配置工具還做了權限控制(圖2.1.3),只有被授權了的qq才能成功打開配置工具。
圖為極品輔助盒子啟動界面(圖2.1.1)
圖為極品專用編輯工具界面(圖2.1.2)
圖為極品專用編輯器登陸權限驗證(圖2.1.3)
2.2. 極品輔助盒子的雲控服務器配置,雲控下載文件列表配置:
該黑客組織的雲控配置數據是加密的,他們有專門的配置工具來獲取和修改他們的雲控配置文件。他們的雲控配置包含三個方面:導航配置(圖2.2.1)、輔助配置(圖2.2.2)、授權配置(圖2.2.3),且該專用工具還具備給文件簽名的功能。
圖為該黑客組織的當前導航配置數據(圖2.2.1)
圖為該黑客組織的當前輔助配置數據(圖2.2.2)
圖為該黑客組織的當前授權配置數據(圖2.2.3)
該黑客組織的雲控服務器,雲控的地址如下表:
2.3. 極品輔助盒子使用人數的監控,以及遊戲輔助修改劫持用戶電腦主頁的統計:
該黑客組織有一套完整的黑產系統,他們有輔助人氣監控平臺(圖2.3.1)監控他們遊戲輔助的運行情況,如果被殺軟查殺和攔截了,他們可以第一時間了解遊戲輔助數據變化情況,然後采用新的方法來跟殺軟對對抗。還能統計出他們每天劫持主頁IP數量、軟件推廣情況等等,以便他們跟渠道核對最後的收益。
圖為黑客組織的數據監控工具(圖2.3.1)
其人氣等數據統計的後臺服務器地址是:
http://112zm-xg.oss-cn-hongkong.aliyuncs.com/wz/jpda.xml
http://www.lg233.com/wz/jpda.xml
2.4. 極品輔助盒子的劫持導航頁的雲控配置:
該黑客組織在對用戶電腦瀏覽器所劫持到的主頁也采用了雲控的方式,他們通過訪問自己的雲服務器上的一個js腳本,js腳本再根據訪問時候傳遞的參數,來跳轉到他們需要劫持的瀏覽器主頁去,從而實現了雲控用戶電腦劫持主頁。且該黑客組織還加了cnzz的統計,以便跟鎖主頁的渠道商核對他們的收益情況。
圖為黑客服務器上的的用來做跳轉的主頁(圖2.4.1)
該黑客的服務器主頁地址如下:
http://dh.112zm.com/
http://dh.liuxue789.cn/
2.5.該黑客組織還利用博客進行發布雲控地址
經過木馬作者信息的追蹤,我們還發現該黑客組織在之前還利用博客(http://jpzm.blog.163.com/)來進行發布雲控地址等等,該博客地址沒啥內容,上面都是一些16進制數據,是用來存放雲控相關數據的。
圖為該木馬作者的網易博客截圖(圖2.5.1)
3. 劫持導航的核心程序分析
該黑客組織的雲控的核心程序其實分成三部分:
圖2.5.1(1)
3.1. 利用遊戲輔助從雲控地址下載劫持主頁的程序,如極品輔助盒子中的intel.exe
圖為遊戲輔助下載雲控配置核心代碼(圖3.1.1)
其中sub_40EE30就是負責下載文件的主要函數,其支持GET和POST兩種方式下載,還支持HTTPS下載,其中核心代碼如下截圖:
圖為下載程序的部分代碼(圖3.1.2)
3.2. 啟動intel.exe程序
訪問雲控配置id.js腳本,生成或修改用戶桌面上的瀏覽器快捷方式以及用戶電腦快速啟動項的瀏覽器快捷方式,以達到劫持,不過瀏覽器攜帶參數是加密的。
圖為訪問雲控主頁的腳本id.js部分代碼(圖3.2.1)
其中該id.js腳本就是根據遊戲輔助傳遞的參數,來決定劫持瀏覽器主頁的劫持地址,且該劫持主頁還區分了XP和win7系統,其代碼截圖如下:
圖為id.js的部分代碼(圖3.2.2)
Intel.exe程序會遍歷用戶電腦桌面上的快捷方式,循環查找用戶電腦上的快捷方式,是否包含以下關鍵字:chrome、360se、世界之窗、Firefox、網址大全.lnk、opera、瀏覽器、上網、導航;如果有就直接修改快捷方式參數,若沒有就創建IE瀏覽器的快捷方式,名字叫”上網_點這裏”,且將用戶電腦的默認瀏覽器路徑保存至cfg.ini文件中。
圖為intel.exe程序遍歷桌面快捷方式的函數(圖3.2.3)
圖為intel.exe程序創建桌面快捷方式的函數(圖3.2.4)
圖為最後在用戶電腦桌面上創建的瀏覽器快捷方式,帶加密參數(圖3.2.5)
圖為cfg.in文件的內容(圖3.2.6)
3.3. 用戶打開瀏覽器快捷方式
當用戶點開桌面的瀏覽器快捷方式時,會啟動黑客組織實現下載好的一個白利用程序,該白程序會加載QQPCDetector.dll,該dll會解密快捷方式所帶的加密參數,然後該dll訪問cfg.ini,獲得系統默認瀏覽器,最後用瀏覽器打開黑客組織所劫持的主頁。
圖為QQPCDetector.dll中的獲取瀏覽器和解密導航url的函數(圖3.3.1)
圖為QQPCDetector.dll中用瀏覽器打開導航主頁(3.3.2)
4. 傳播方式
該黑客組織傳播自己木馬的主要方式,就是自己開發並維護一些熱門遊戲輔助,或者使用他們的專有工具二次打包一些熱門輔助,這些遊戲輔助中都有他們的雲控配置代碼,具360安全數據中心監控到的數據,目前已經有30多種熱門輔助攜帶該黑客組織的雲控配置。具體列表如下:
5. 數據統計
目前該黑客組織所用的導航域名有三個:112zm.com、liuxue789.cn、basi2.cn,其中第一個域名是使用最久,後面兩個是被360攔截後,新使用的,我們就用112zm.com,以一年為單位來看看該黑客組織劫持導航的量,該域名是2013-09-01註冊的,下圖為該域名最近一年的訪問量:
圖為112zm.com域名一年的訪問量曲線圖(圖5.1)
我們可以看到,該域名的訪問量一直比較穩定,一年中中間這段時間波動不大,根據360數據中心監控得到數據,以及根據他們的人氣監控工具預估,一年下來該黑客組織劫持用戶電腦瀏覽器主頁的數量在千萬級別,可想而知該該黑客組織謀取了多少暴利。
6. 危害及防範
目前,利用這些遊戲輔助傳播木馬的黑產行為十分活躍,非法外掛軟件“十掛九毒”,一定不要盲目運行,特別是在要求必須退出安全軟件才能使用外掛時,更不可掉以輕心。
此外,安裝操作系統後,要第一時間安裝殺毒軟件,對可能存在的木馬進行查殺。
*本文作者:360安全衛士,轉載請註明來自 FreeBuf.COM
Tags: 輔助 免費遊戲 遊戲 劫持 用戶 組織
文章來源: