07月25, 2014

Game906盗号木马的深度剖析

简介:随着Game906盗号木马的倒台,类似的棋牌类赌博平台如雨后春笋般冒出,在网络上涌现了大量的棋牌类赌博平台,其中比较具有代表性的有:Game906棋牌游戏。由game906原班未入狱人马倾力打造,试图再构一个中国最大的赌博平台。

第一由**game906**引起的一整条黑色产业链简介

game906是一款网络赌博游戏平台,游戏玩家主要集中在浙江地区,游戏玩家通过向游戏公司购买欢乐豆,然后用欢乐豆作为在游戏中博弈的砝码。欢乐豆与人民币的兑换比率约为1:1w。下图为5173游戏交易网站上的价格:

aaa

面对这块流油的肥肉,一些木马作者就开始动起了歪脑筋。如何将普通游戏玩家账户中的欢乐豆转移到自己的账户中,并出售获利就成了他们琢磨的焦点。于是就出现了以下完整、成熟的欺诈链。

1:木马作者会从官方网站上下载一个官方的安装包

2:将安装包中游戏运行所需要的一些dll文件替换为已经修改过的dll文件,目前被替换的dll主要有以下几类:

a):利用系统加载dll的搜索顺序所作的挟持,比如:dunzip32.dll/dzip32.dll

b):挟持程序运行时必须加载的dll文件,比如906中的一个异常反馈文件:ExcpRecord.dll

c):利用带有数字签名的文件启动一个被修改过的dll。例如zlib1.dll

3:封装好一个极具迷惑性的安装包之后,木马作者开始仿照game906的官方网站精心制作一个钓鱼站点。

4:通过SEO或者关键字竞价在搜索引擎上做推广,力求自己的钓鱼网站出现在搜索结果的前段位置。

5:在game906木马最为猖獗的时期,各个木马制作团伙利用手里的肉鸡对game906的官方网站做DDOS攻击,使得官方下载站点一度瘫痪。广大不明真相的游戏玩家只能在钓鱼网站上下载安装包。

6:在game906游戏木马初期,木马中只有盗号的功能,并没有加远控的功能,这是因为这个时候做game906木马的团伙已经突破了game906中账号与特定机器的绑定限定,盗取到账号、密码之后可以在别的机器上用技术手段(后面会讲到)正常登陆并解绑用户的原先绑定。

7:当用户运行了这种被修改过的游戏之后,用户的账号密码会发送到指定的服务器,木马作者会取得相关的解绑信息,利用开发好的解绑工具登陆用户的账号、密码,然后去游戏控制面板进行账号与机器的解绑操作,并转移用户的欢乐豆到指定的账号。

8:后来做game906游戏木马的人多了,技术也没有最初那些人犀利,无法解决解绑的问题,于是出现了带有远控功能的game906游戏安装包,这种安装包流传出去后,当普通用户在玩game906赌博游戏的时候,他们的屏幕一直处于被监控的状态,木马团伙中会有专门的人盯着上线的游戏玩家,与他们进行游戏对弈,因为对方的底牌处于被监视状态,因此总是很快将欢乐豆输给木马团伙。

9:最后就是欢乐豆的出售获利

从目前监控到的数据来看,在浙江地区、山西地区、北京地区这三个地方有人在做game906的木马,后来湖北、陕西等地也有发现。但是随着360查杀力度的增大,game906木马越来越不好做,于是他们开始转向gametea游戏木马制作、飞五游戏木马制作。

也是由于game906棋牌类游戏木马的兴起,使得以前主要应用在软件推广、广告点击、DDOS攻击、游戏账号强制交易、网购木马等领域的gh0st远控有了各种版本的修改、通信协议的加密。现在除在gametea游戏里发现的一款远控是灰鸽子的修改版之外,其它在game906里应用的远控都是基于gh0st的修改版。

第二:**game906**木马详细技术分析

我选择一个相对来说比较有代表性的木马做一个详细的逆向分析,木马安装安装后文件如下:

bbbbbbbbbbbb

Lobby.exe执行的时候会加载qqext.dll文件,在IDA里分析qqext.dll文件如下所示:

cccccccccc

dddddddddddd

如上图,接下来就是对游戏的整个patch过程了,我把游戏里patch掉的地址都在OD里标注出来了,我们登陆游戏看一下整个过程都从相关地址里取得了哪些有用信息。

密码:

eeeeeeeeeeee

账号:

ffffffffffffff

拿MAC地址:

gggggggggggg

拿计算机标识

hhhhhhhhhhhhhhhhh

MAC地址以及计算机标识的获取并不是在主程序Lobby.exe中获取的,而是分别在PlatformNetClient.dll,PlatformGameClient.dll这两个dll中获取的,刚才在截图的时候这点我没有截出来。

身份证信息:

iiiiiiiiiiiiiiiii

仓库保管密码:

jjjjjjjjjjjjjjjjjjjjjjjjj

欢乐豆的数量:

kkkkkkkkkkkkkkkkk

正确的发信时机:

当正确登陆之后才发信。

mmmmmmmmmmmm

到此为止,在哪个地方取得哪个信息都已经列出来了。

木马作者获取到这些信息之后,在其他的电脑上是不能登陆别的游戏玩家的账号、密码的,因为游戏玩家很可能已经将账号与机器绑定。要想顺利在其他的机器上登陆截获的账号密码就需要用到上面截获的主机Mac地址以及计算机标识信息填充到将要发送给服务端的数据包中,发送出去欺骗主机,登陆成功后进入控制面板解绑账号与机器的对应关系即可。

其实现思路如下:

游戏启动器A中输入已经截获到的游戏玩家的MAC地址、计算机标识信息。然后去启动Lobby.exe,A释放一个DLL并注入到Lobby.exe中。此DLL的作用就是去patch掉存储真实的mac地址、计算机标识信息的内存区域为游戏玩家的mac地址、计算机标识。然后用盗取的玩家的账号、密码登陆游戏,至此提交到服务器上参与验证的数据全部都是被盗号的游戏玩家的资料,因此可以欺骗服务器正常登陆进入控制面板界面,然后在控制面板里进行解绑操作。

本文链接:http://blogs.360.cn/post/game906盗号木马的深度剖析.html

-- EOF --

Comments