報(bào)告作者:360核心安全部門360證書

0x00前言

《絕地求生:大逃殺》自Steam上線以來一直占據(jù)銷量榜榜首，可見這款游戲的火爆程度。用戶紛紛加入“吃雞大軍”，“耶穌求生:大逃亡”要求用戶花98元在Steam Mall購買，才能開始“吃雞”。黑產(chǎn)從業(yè)者也找到了“商機(jī)”，盯著用戶手里的Steam賬號(hào)。他們?cè)噲D通過竊取蒸汽賬戶數(shù)據(jù)并出售來獲利。

發(fā)布“郵箱數(shù)據(jù)”

而且我們還發(fā)現(xiàn)，這些黑制作人都在貼吧和QQ群里試圖出售自己的非法Steam數(shù)據(jù)，大量的非法Steam數(shù)據(jù)交易都發(fā)布在“郵箱數(shù)據(jù)”貼吧里。此外，我們的360云安全系統(tǒng)監(jiān)控最近發(fā)現(xiàn)，一些不法分子通過語音轉(zhuǎn)換器、插件、加速器等方式傳播竊取數(shù)據(jù)木馬。木馬一旦運(yùn)行，就能成功竊取用戶的QQ號(hào)和動(dòng)態(tài)Skey。

為了方便用戶，騰訊可以在已登錄的QQ電腦中使用“快速登錄”的方法。在使用這種登錄方式的過程中，會(huì)生成一個(gè)密鑰，這是另一張用于QQ登錄的身份證。黑客可以用這個(gè)密鑰識(shí)別用戶的QQ，登錄郵箱，QQ空，看相冊(cè)，寫日記，發(fā)帖聊天，微博，財(cái)付通，QB。

使用QQkey登錄郵箱工具

通過偽裝steam插件傳播的犯罪分子，會(huì)通過快速登錄QQ郵箱，竊取綁定到QQ郵箱的Steam賬戶及相關(guān)財(cái)產(chǎn)。

360-CERT分析過這個(gè)漏洞，認(rèn)為該漏洞影響嚴(yán)重；目前相關(guān)報(bào)告已經(jīng)公開，建議相關(guān)用戶盡快制定評(píng)估方案。

0x01產(chǎn)業(yè)鏈分析

我們嘗試與貼吧里的一個(gè)“人販子”溝通，嘗試還原整個(gè)黑客產(chǎn)業(yè)鏈的狀況。

在溝通過程中，“人販子”給我們展示了盜取Steam賬號(hào)過程中需要的工具和測(cè)試數(shù)據(jù)。從工具上，我們發(fā)現(xiàn)他們用來盜取QQKey的郵件接收方式主要有騰訊企業(yè)郵箱和ASP郵件接收。

盜號(hào)木馬生成器，QQKEY記錄器

“人販子”也告訴了我們這些工具的價(jià)格和圈里的源代碼。整套盜號(hào)木馬生成器一套易語言源碼的價(jià)格是1500，而對(duì)于一些不懂易語言源碼的工作室來說，主要是購買800左右價(jià)格的QQKey盜號(hào)木馬生成器，甚至用來登錄QQKey的伐木工也需要400。

我們要求“人販子”測(cè)試木馬，因?yàn)槲覀冃枰獪y(cè)試盜號(hào)木馬是否可以避免殺死360?！叭素溩印闭f，它的木馬可以通過360，但文件下載后就被QVM殺死了。其實(shí)木馬本身的技術(shù)門檻并不高。整個(gè)黑客過程中最重要的是賬號(hào)數(shù)據(jù)量，在后續(xù)的溝通過程中，我們也“人販子”得知他們的手段主要是引流和傳播，并再次向我們展示了他們行業(yè)的“外號(hào)寶書”。

最后，我們把這種黑色產(chǎn)業(yè)鏈的情況還原如下:

0x02竊取QQkey

根據(jù)最近捕獲的樣本，我們發(fā)現(xiàn)這種盜日木馬主要有兩種竊取QQkey的攻擊方式。

用QQ快速登錄盜取QQ密鑰

通過訪問http://localhost . ptlogin 2 . qq . com:4300/[URL]獲取用戶登錄QQ的密鑰，并將Set-Cookie中的clientKey發(fā)送到牧民中的服務(wù)器(464690486.blkj.tk)。

牧民服務(wù)器通過qqkey.php接收QQ密鑰進(jìn)程存儲(chǔ)，傳輸?shù)臄?shù)據(jù)主要包括QQ號(hào)、QQ名和QQ密鑰。

將qq號(hào)碼和qq登錄密鑰發(fā)送到指定的服務(wù)器

信息也會(huì)發(fā)送到指定的郵箱

特洛伊木馬分發(fā)程序的接收網(wǎng)站流量:

注:此圖來自360網(wǎng)絡(luò)安全研究所

從網(wǎng)站流量來看，從2018年3月30日開始網(wǎng)站流量突然暴漲，我們也貼出了該站的訪問日志。

另一個(gè)特洛伊木馬分發(fā)程序的電子郵件地址:

這說明收獲不便宜。

暴力搜索內(nèi)存提取QQ密鑰并上傳到服務(wù)器或郵箱

閱讀QQ.exe記憶

將Qq密鑰發(fā)送到服務(wù)器

登錄一個(gè)黑客的服務(wù)器，大約半個(gè)小時(shí)就可以看到2000多個(gè)QQ賬號(hào)和密碼被盜。

服務(wù)器上的Qq密鑰記錄

新品種

關(guān)于這個(gè)新變種，我們發(fā)現(xiàn)他用來獲取QQkey的方法并沒有改變(這個(gè)方法目前在國內(nèi)只有360)

QQ密鑰仍然通過QQ快速登錄界面獲取，如下圖所示:

但是，我們發(fā)現(xiàn)他上傳QQkey的方式發(fā)生了變化，從之前通過電子郵件和ASP接收改為socket通信，如下圖，木馬正在連接C & ampc服務(wù)器:

我們通過技術(shù)手段獲得了這個(gè)變種的木馬生成器，包括:自動(dòng)訪問QQ郵箱進(jìn)行黑客攻擊，管理獲得的QQkey，自動(dòng)生成木馬等?？梢姽δ芊浅｝R全。

其中我們了解到服務(wù)器的流量在4月11日到4月12日之間飆升，說明變體應(yīng)該會(huì)在4月11日發(fā)布。后來，我們截獲了這個(gè)變種，C & ampc服務(wù)器的流程圖如下:

注:此圖來自360網(wǎng)絡(luò)安全研究所

0x03 IOC

12e13e.exe 55AC 18 FB 660 F 726 EB 801 B8F 03 F9 EBC 37

wrqdfq.exe 37575d 21 b 8 CD 16 ABA 4c 3e 1b 3013 B1 e 31

QQPass.exe 6cb 90 f 793 db 09 fef 0077 e 599 c 6 ff 6f 20

0x04時(shí)間線預(yù)防建議

1.立即下載并安裝“360安全衛(wèi)士”來防范此類木馬。

2.不要因?yàn)槭褂幂o助軟件而關(guān)閉安全軟件的保護(hù)功能。

0x05摘要

360云安全大數(shù)據(jù)顯示，這種類型的木馬數(shù)量不斷增加，不僅可能影響用戶Steam賬戶的安全，還可能影響用戶其他QQ服務(wù)的安全，并可能導(dǎo)致用戶遭受巨大的經(jīng)濟(jì)損失。

建議用戶立即下載并安裝國內(nèi)唯一能殺死此類樣本的“360保安”。