公众号手机端

浅析:一键盗号究竟是何方神圣?盗号器篇

大家好 我是练习时长两年半的自闭逆向练习生,CatGames,我喜欢唱 跳 自闭 Music!

文章开头我想@腾讯安全管家 @360安全管家 @火绒实验室 此次样本三款杀软均有无报毒 文章下面有测试截图

继上一篇文章 [原创]浅析:隐藏在游戏外挂中的盗号木马-光明中的黑暗-CatGames

这篇文章我觉得我应该有说错的地方 如果大佬发现麻烦在评论指出来!上一篇说到,现在都流行一种叫撸号器的 撸号器那么厉害 这次就搞一搞!

0x00 破解撸号器 获取使用权限

这是我在市面上下载的一款名为心瘾的撸号器 为了保证此款撸号器的功能解析,我破解了他的登陆,那么具体的看下面(并不提供如何破解,自行研究,为了防止某些不法分子拿了方法去破解然后盗号)

这里有的小白可能就会比较误解,直接打开程序 401000 最后发现自己要找的特征码和地址都找不到,这是为什么呢?

易语言支持三种编译方式1.编译,2.静态编译,3.独立编译 那么这个作者就使用了第一种

点击编译后

点击保存,但是你会发现(中文邮件格式:邮件的主题是为了让收件人看到邮件之后对该邮件有个大体了解,确定邮件的紧急、重要程度、有效、有用性的;所以在写主题的时候最主要的突出 什么事、重要程度等关键信息;可以按照以下方式和思路去写:格式:修饰词+邮件内容+时间+发件人。如果有必要的话还可以在主题上加上紧急程度和邮件的主体内容,清晰明了。)系统又提示一个说需要把依赖项写到同一目录,

我们这边什么都没写 所以他只帮我们写出去了一个依赖文件

必须放在一起才能运行 不然的话是无法运行的

就比如这个撸号器一样

单独放在桌面

会有一个Error 错误提示

(ps:易语言普通编译也就是直接编译,指的是不把支持库等依赖一起编译,就等于如果你要把软件发给别人使用的话,那别人也必须又支持库才行!

独立编译:运行时会把需要的支持库释放到一个系统临时文件夹的子目录内,然后运行.

静态编译:运行是不需要任何的支持库支持就可以运行,支持库已经和exe结合到一起了. )

0x01

好家伙 SE 但是我只能说绝对没有反调试 别问我为啥 因为他直接编译要调用支持库 如果他加了反调试等VM 花指令 程序会跑不起来:) 因为我试过:)具体的自行尝试即可

因为他是调用支持库 验证 这里会有很多小白不懂 因为 他们搜需要的特征码却发现找不到!

这里我用一个简单的方法找到 他是调用哪个支持库验证的!

先运行 ,运行之后点击登陆!

点击暂停,然后alt+F9 执行到用户代码

接着点击那个错误的弹窗即可

可以看到是调用krnln模块验证的

那么接下来就是爆破

爆破完成(只说明如何找到调用模块 其他的自行研究)

这个是生成shell 远控的

这个是steam密正

这个是QQ马

我生成了三个马 分别是steam密正 QQ马 shell后门远控

这玩意还是用了腾讯的数字签名 但是我觉得没什么卵用!

0x02

提权到deBug权限

使用CreateToolhelp32Snapshot获取系统正在运行的进程,在堆栈下面找可以找到它获取的进程信息

获取操作系统信息

创建一个线程

这个localhost.ptlogin2.qq.com 已经见怪不怪了 大家都懂的了

再一次调用CreateToolhelp32Snapshot

这一次获取的是Steam进程

后续的话 基本跟之前一样 调用CreateToolhelp32Snapshot获取进程信息 然后CreateThread

创建一个线程来获取QQ快速登陆的cookie/key

最后发现他有访问steam的记住密码

0x03

这UI抄的还蛮像的 那还得了:)但是确实是网上开源的防QQ UI的源码 但是这玩意要是在真实情况下 我觉得是个正常人都会去点的吧!

输入超多个111111之后 就会传回去

NB就完事了:) 服务器是美国的!

突破就完事了呗 具体有没有用 还得看测试结果

社工操作基本上获取财付通啊 等各种绑定的信息

0x04 破解之后测试一下功能

这是我生成的一个QQ马 点击登陆后

这边马上提示有新的QQ 这些正好是我输入的东西

Steam密正

获取了我的密码和ssfn文件 然后我下载下来 正好就是我steam目录下的ssfn文件

点击一键授权或一键登录 后我也不需要在进行QQ邮箱的验证

shell远控后门(因为他程序每次只能打开一个功能的木马程序 所以我只能分开测试)

他的shell 我弄了很久也没懂这玩意怎么用 是反弹还是怎么 还是需要登陆QQ?这些我都测试过了 他的shell就是没反应:)

所以我无法验证验证他是如何突破的QQ独立密码

0x04免杀测试

还是老规矩

解压一台全新的虚拟机 下载目前普通用户最长使用的三款杀毒软件 360 腾讯电脑管家 火绒

作者说过一切杀毒软件 自动拦截! 你这是不把腾讯管家等杀软放眼里呀:)

1. 腾讯电脑管家免杀测试

指定位置扫描

只有一个QQ盗号木马报毒 shell和steam密正均未报毒

病毒运行是否拦截

因为QQ木马扫描已经报毒杀掉了 那么运行就更不用说了 所以不测试QQmuma.exe

shell测试没有被拦截

steamMZ测试没有被拦截

2.360安全卫士测试情况

指定位置杀毒

运行情况

Shell.exe拦截成功

Steammz.exe拦截成功

3.火绒安全测试情况

指定位置扫描

运行拦截测试情况

QQMuma.exe 等待30秒 火绒无拦截

Shell.exe

拦截成功

SteamMZ.EXE

拦截成功

0x05

撸号器作者服务器:154.95.20.80

登陆地址:http://154.95.20.80/nc/q/clogin.php

下面是盗号器作者给出的如何钓鱼上钩盗号

个人建议:看图

后记(来自Bilibili)

随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。

当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?样本我放在附件了 如果需要撸号器样本的请发邮件到3331234895@qq.com 并表明你的来意~CatGames的小窝

GLHF!:)

本文由看雪论坛 CatGames 原创

版权声明

本文仅代表作者观点,不代表本站立场。
如有侵权,请留言联系我们删除,感谢。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

热门