黑基网 首页 资讯 安全圈 查看内容

针对QQ盗号木马黑色产业链追踪与分析

2015-12-12 10:42| 投稿: lofor |来自: 三个白帽

摘要: 0×0 概述近期安天追影小组利用威胁感知系统捕获到一起木马传输事件,黑客组织通过 QQ 盗号木马,盗取受害者账号及密码。此次事件受害机器数量颇多,波及范围已达 25 个省市以上,并且情况仍在持续恶化中。分析小组 ...

0×0 概述

近期安天追影小组利用威胁感知系统捕获到一起木马传输事件,黑客组织通过 QQ 盗号木马,盗取受害者账号及密码。此次事件受害机器数量颇多,波及范围已达 25 个省市以上,并且情况仍在持续恶化中。

分析小组加紧跟进此事件后发现,除 QQ.exe 以外,地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏客户端也被该木马劫持。被劫持的对象多为腾讯旗下的游戏,这些游戏的密码和 QQ 的账号密码是通用的。主要通过网页挂马、游戏外挂等方式进行传播,长期大范围传播盗号木马,形成一条完整的游戏盗号产业链。QQ帐号被盗取后QQ空间出现办理信用卡的广告贴。该木马弹出的高仿界面与真实QQ 窗口相比不含菱形动画效果,二维码也无法打开,请用户在登录时谨慎操作,避免盗号事件发生。

0×1 样本分析

威胁感知系统在http://*.*.*.54:188/my/qqq.ico位置传输木马,qqq.ico实则是一个EXE格式文件,运行这个样本,我们发现这个恶意样本劫持了QQ进程。qqq.ico是一个下载者,下载qq1.css,qq1.css也是一个EXE程序,运行之后会检查进程里是否含有QQ.exe,如果发现了就立即终止QQ进程,将原有的QQ窗口替换成为自己设定的窗口,这样发送的用户名和密码会轻易地发送到黑客手上。发送完毕之后,返回原来正常的QQ窗口,进行正常的登录行为。如下图所示,是qqq.ico恶意盗取QQ用户的用户名和密码的方式。

图1 真假QQ窗口

左面真实QQ 窗口有菱形动画,并且二维码可以点用于开手机登录,右边是伪装的窗口无菱形动画,二维码无法打开。当用户添加真实的QQ号和密码会进行验证,盗号程序会通过HTTP上传QQ用户名密码,发送数据如下:

GET /qq1/lin.asp?Action=AddUser

图2 发送盗号数据

0×2 网络架构分析

放马站点持续活跃超过1年,并有相关架构至少在三个挂马组织中使用,除 QQ.exe 以外,地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏,每个游戏的结构都不同,abc.txt是放马的下载列表,都是以ico结尾的,实际是EXE文件。

图3 放马配置文件

放马网站捆绑了众多的域名

图4 放马网络域名

0×3 受害者分析

安天威胁预警平台对该盗号团伙进行了监控,自2015年9月6日起到2015年11月6日,随机抽取了六万数据做了分析,全国范围内的都出现了受害者,其中以重庆的受害者居多,达到总数的18%,黑龙江紧随其后,两地占据了总受害者的1/4以上。该样本传播范围极广,涉及到25个省和直辖市。截止报告完成之日,持续有更多的受害者出现。

图5 受害地域分布

被盗QQ空间主要被发了信用卡办理网站和网络兼职等黑广告。

图6 受害者空间动态

0×4 黑客追踪

大部分的域名都是GODADDY注册的,百密一疏,追影小组的网络犯罪追踪人员还是发现了一个域名的注册邮箱,一个叫“china”QQ昵称的黑客所拥有,其QQ签名为“长期收购一手安装量”,这就是在QQ盗号产业中的专业放马人!

0×5 总结

虽然我们观察到的盗号的一个效果是发小广告,在盗号黑产的过程中有非常多的利用,QQ诈骗就是其中之一。另关于利用外挂藏后门定向钓取QQ游戏用户的盗号框架敬请下回分解。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手
2

雷人

路过

鸡蛋

刚表态过的朋友 (2 人)

相关阅读

最新评论


新出炉

返回顶部