從CF活動助手到Steam盜號扒手

前言

網絡遊戲的輔助、助手類工具一直以來都受到一些遊戲玩家的喜愛。但由於這些軟件很多都存在擾亂遊戲公平、篡改遊戲數據等問題，損害到了遊戲運營方和遵守遊戲秩序玩家的利益，一直以來都是被遊戲廠商、運營商打擊的對象。也正是因為這是一個較為灰色的地帶，造成了這類工具都是由個人或小團隊開發和維護，可謂魚龍混雜。這裡面也就存在大量追求不法利益的開發者——利用遊戲輔助傳播病毒木馬和各類惡意程序，甚至還有趁機竊取遊戲賬號裝備的可謂比比皆是。而今天要提到的"CF活動助手"就是其中一個。

CF活動助手分析

CF活動助手是一款比較流行的遊戲輔助工具，其支持的功能很多，以下是其官網的介紹內容，包括"最新活動通知"，"一鍵領取活動禮品"，"戰績、消費、倉庫查詢"功能，並且"永久免費"，看起來確實是不錯的輔助，

圖1. 官網的助手功能介紹

通過官網的用戶實時統計可以看出：其每日的用戶IP數可達到70000+，PV量已經達到了12萬，這也從一個側面說明了其確實深受用戶喜愛。

圖2. CF活動助手的用戶量

圖3. CF活動助手程序界面

CF活動助手為了保證能及時跟進遊戲運營方推出的活動，同時保證其"查詢功能"接口的有效性，會在啟動時通過雲端下拉配置方式獲取自身運行所需配置信息，其使用的雲端配置信息地址如圖4所示：

圖4. 程序內使用的雲控地址

圖5. 程序官網的加密雲控信息

通過解密其雲控配置後，可以發現除去程序相關的配置信息後，還包括對安全軟件的檢測，同時具有下載並執行遠端程序的功能。

圖6.安全軟件進程名配置字段

圖7. 遠端下載程序配置字段

其中下載文件名為"QMBroswer.exe"和"QMBrowser.exe"的文件，在前期分別下發過"QQ空間廣告刷手"病毒以及"Steam盜號器"。而中間的"server.exe"文件，則是一個下載者木馬。

1. 下載者木馬

該木馬啟動後，會主動向遠端地址發起下載請求，下載多個程序到本地執行。雖然在URL鏈接中，這些文件均已.txt結尾，但實際上大多均為可執行程序，其中也包含驅動程序（SYS）和動態鏈接庫程序（DLL）等，具體功能也可能由於服務器控制者的修改而損失變化。

圖8. 下載抓包

此外，該木馬同時還會將中毒機器的相關信息上報給服務端用以統計。

2. Steam盜號器

盜號器啟動後會結束正在運行的"Steam"客戶端，之後通過枚舉磁盤文件方式找到Steam客戶端安裝路徑

圖9. 結束Steam進程

圖10. 釋放盜號模塊

找到Steam客戶端安裝路徑後，會向路徑內釋放名為IPHLPAPI.dll的庫文件用作DLL劫持，這樣Steam客戶端在下次啟動時會加載該DLL文件。

圖11. 盜號模塊注入Steam進程

該DLL一旦被加載，便會通過hook方式掛鉤SteamUI.dll模塊的4處位置：分別為"UserNameEdit"、"密碼"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode"，如下：

圖12. 盜號模塊尋找hook點

圖13. 待攔截的控件名稱

如此一來，每當用戶通過輸入賬號密碼的方式登錄Steam的時候，劫持了客戶端的DLL同時也會竊取這份賬號和密碼。

3. "QQ空間廣告刷手"病毒

病毒運行後，會通過QQ本地認證接口取到SKey，之後帶Skey可跳轉全線QQ產品，病毒會選擇跳轉QQ空間和興趣部落，在非用戶自願的情況下，發佈廣告。

圖14. 刷QQ空間說說

圖15. 刷"興趣部落"評論

實際發佈內容如下圖所示：

圖16. 類似廣告內容

火爆的Steam盜號

自"絕地求生"在國內爆紅之後，針對Steam的盜號產業鏈發展得可謂異常迅猛，不只這一款輔助，我們還發現了大量各種針對steam的盜號攻擊。

號碼如何被盜？

目前流行的盜號方式大體可分為三類：

1. 釣魚頁面，騙取賬號密碼

通過偽裝成相似度極高的"活動頁面"誘騙受害者輸入賬號密碼來領取所謂的"禮包"或"CDKEY"，而一旦輸入這些信息，信息便會被髮送到盜號者的"箱子"中存儲起來，後續被打包轉賣或者洗劫。

圖17. 偽造的Steam釣魚頁面

2. 曲線救國，利用賬號找回功能盜取賬號

賬號找回功能是指在用戶一旦忘記原有密碼時，平臺方通過其預先綁定的郵箱地址發送"憑證"，用戶以此即可重置其密碼。一般來說，此類功能的設計原則，是基於認為賬號所使用的註冊郵箱持有者是可信的——即，能查看註冊郵箱內容的人，可以被信任為就是賬號主人本人。但由於騰訊本地統一認證接口的存在，以上這一套信任邏輯就變得不再可靠。

圖18. Steam平臺發送的密碼重置憑證

騰訊所提供的這套接口，本身是為了方便用戶登錄其全線產品所設計的一套機制。但由於沒有對調用者進行校驗，所以任何在用戶計算機中運行的程序都可以調用從而拿到SKey（認證Token），如果用戶使用了QQ郵箱綁定其Steam賬號，那攻擊者通過在Steam平臺主動發起"密碼找回"，之後通過Skey在受害者的郵箱中取到"憑證"從而重置密碼，更進一步可以修改掉受害者的Steam綁定郵箱，使得受害者無法再找回其賬號。

常見的有以"XX變聲器"、"XX加速器"命名的"擼號器"，通過聊天工具、郵箱方式進行傳播。

圖19. 通過郵箱傳播的Steam擼號器

3. 對登錄器下手，直接獲取賬號密碼

前文所述的"CF活動助手"即為以"DLL劫持"方式注入Steam登錄程序，通過hook相應的控件處理邏輯從而偷取受害者登錄賬號及密碼，而這種方式非常隱蔽，受害者一時很難察覺，同時也存在盜號器以"遠線程"注入方式盜取受害者賬號密碼，其中比較常見的有：

1) DLL劫持，位於Steam安裝目錄下名稱IPHLPAPI.DLL

2) 進程注入，釋放模塊位於Steam安裝目錄名稱為cuic.DLL

被盜賬號會被如何處理？

受害者的賬號最終流向，不外乎是以下幾種：

1. 賬號內有高價值虛擬財產，會被轉移後賣掉。

2. 賬號安全預留信息可改且價值較高的，修改信息後轉手當做高價值黑號賣掉（幾元到幾百元不等）。

3. 賬號價值較高且盜號者自己對賬號內遊戲感興趣的，盜號者留作自用（開掛）。

4. 其餘價值較低賬號，打包出售。最後還是流到"上號器"號商手裡。

圖20. Steam黑號出租（上號器）

圖21. Steam黑號圈子

圖22. Steam黑號交易

如何避免號碼被盜？

1. 儘量避免使用第三方輔助軟件。

2. 無論是遊戲賬號還是郵箱賬號，儘可能啟用多重安全機制（如手機動態口令app等）。

3. 在非可信環境下（如網吧）避免使用自己的遊戲賬號。

4. 360安全衛士具備"遊戲賬號保護"功能，在開啟情況下可有效阻止遊戲號碼被黑客竊取。

圖23. 360安全衛士攔截威脅程序對Steam客戶端的注入操作

閱讀更多 360安全衛士 的文章

關鍵字: QQ空間 盜號 網絡安全