I. نظرة عامة

1 أبريل الصباح، صوفان التنبيهات الفريق الأمني، وهي جزء من "2345 محطة الإنتقال" الوطن الإعلانات البوب تحمل طروادة، فإن الفيروس سرقة QQ، منصة لعبة (بخار، WeGame) لعبة، المعروفة (DNF، الدوري، عبر النار) الحساب. هذه هي مصممة بذكاء، منظمة تنظيما جيدا على نطاق واسع للعمل القرصنة وعطلات نهاية الأسبوع الهجوم المفاجئ، والهدف الرئيسي هو لمستخدمي الإنترنت لعبة.

صوفان المهندسين لتحليل، وجزء من "2345 محطة الإنتقال" أسفل الزاوية اليمنى الرئيسية البوب البوب الإعلانات (السهم الأحمر على الخريطة)، صفحة الإعلانات المنبثقة مرة واحدة، يمكنك تلقائيا تحميل فيروس، دون أن ينقر المستخدم. يتم تنشيط الرابط فيروس التحميل تلقائيا، أول زيارة موقع انطلاق "yyakeq.cn" (النصي وفلاش انطلاق تخزين الضعف)، ثم تحميل الفيروس من موقع "ce56b.cn"، وسرقت QQ، تم تحميلها الألعاب إلى حساب موقع "zouxian1.cn".

يستخدم الفيروس IE نقاط الضعف ونقاط الضعف متصفح فلاش انتشار، وإصدار المتأثرة من الضوابط فلاش من 21.0.0.180 ل31.0.0.160. جميع المستخدمين 360، كلاب البحث والمتصفحات الرئيسية الأخرى، إذا كان أعلى من ذلك، سوف تكون مصابة سيطرة فلاش.

انتشار الفيروس في جميع أنحاء سلسلة وما يتصل بها من الشركات المعنية، يشتبه المشتبه بهم عصابة وغيرها من المعلومات، يرجى قراءة تحليل مفصل من التقرير المرفق.

ثانيا، تحليل عينة

في الآونة الأخيرة، وجدت صوفان 2345، محطة الملاحة hao774، أكثر من 2345 من محتوى الإعلان مع استغلال التعليمات البرمجية. من خلال تأكيد التحليل الذي تم تحديده في البداية أن محطة الملاحة في 2345 وكان مسموما. الإعلان بشأن نقاط الضعف ونقاط الضعف فلاش المتصفح، واستغلال ورمز تنفيذ من C & C الخادم (hxxps: // www.yyakeq.cn) تحميل تنفيذ شفرة الفيروس، ومحتوى شفرة الفيروس في هذه المرحلة صوفان وجدت القرصنة في الغالب الفيروس. الضعف فقط لعدد الفواتير تعزيز محددة، ومن ثم الاتصال محتوى إعلاناتهم "استرداد عالية من جميع المعدات الألعاب عبر الإنترنت / الذهب"، فإننا نستنتج أن الهجوم استهدف أساسا للألعاب حشد الشبكة، واستهداف للغاية. محطة الملاحة 2345 والمحتوى ذات الصلة الإعلانات ذات الصلة كود HTML كما هو موضح أدناه:

2345 الملاحة محتوى الإعلان ذات الصلة محطة ورمز HTML ذات الصلة

من الصفحة لرؤية الرمز، زرع شفرة الإعلان هو أيضا جدا "غريب" لأن الروابط الإعلانية هي الثابت ترميز في رمز صفحة. ووفقا لالزحف web.archive.org نتيجة لشفرة الإعلان يجب أن يكون في الفترة ما بين 25 مارس 2019 إلى 28 مارس 2019 لأول مرة على شبكة الإنترنت، قبل وقت كتابة هذا التقرير، رمز لا يزال ساري المفعول ولا تزال نقاط الضعف والفيروسات المنطق ويمكن تفعيلها. محتوى الإعلان الضارة ليتم تضمينها في الإعلان صفحات الإطار من العلامة. الصفحة العلاقة التعشيش، كما هو مبين أدناه:

الصفحة فيروس العلاقة المتداخلة الدعوة

tj.html أول حمولة افتراضية استخدام ad.html فلاش التعرض للهجوم، ثم بعد تحميل فقا لمختلف IE كيل متصفح العضو استغلال مدونة (banner.html أو cookie.html). كود ذات الصلة، كما هو مبين أدناه:

صفحة الرموز تحميل

يحتوي كود HTML ad.html شفرة جافا سكريبت تشفيرها. كود ذات الصلة، كما هو مبين أدناه:

كود HTML ad.html

ad.html تم فك الشفرة مرتين للحصول أخيرا يدعو نقاط الضعف رمز، ويستغل يدعو المنطق وفقا للقانون، يمكننا أن نؤكد تقريبا مجموعة المتضررين بين فلاش الإصدار 21.0.0.180 ل31.0.0.160. كود ذات الصلة، كما هو مبين أدناه:

الهجمات ضعف التنفيذ النهائية المتصلة رمز الدعوة

بعد يتم تشغيل الضعف، فإنه سيتم استدعاء السيناريو HTA عن بعد من عنوان خادم C & C: تحميل الفيروس بتشفير البيانات إلى تنفيذ المحلي تحميل البيانات (hxxp //www.ce56b.cn/logo.swf)، يتم فك الفيروس عن طريق الفيروس. العمليات ذات الصلة تدعو العلاقة، كما هو مبين أدناه:

بعد استدعاء العلاقة بين عملية الزناد الضعف

هو مبين أدناه ذات صلة شفرة الفيروس فك شفرة:

فيروس كود فك شفرة

سوف banner.html وcookie.html تؤدي في نهاية المطاف نصي HTA بعيد مماثل في نهاية المطاف تحميل نفس بتنفيذ التعليمات البرمجية الخبيثة من خلال نفس C & C عنوان الخادم. كود ذات الصلة، كما هو مبين أدناه:

فك HTA بعيد عنوان النصي

الضعف إلى رمز الزناد

بعد يتم تشغيل الضعف، أولئك الذين تحميل الفيروس في نهاية المطاف سوف يتم تحميلها تنفيذها وفقا لC & C التكوين إرجاع الملقم (hxxp: //www.ce56b.cn/tj.txt)، وتحميل تلك صدر لتنفيذ المحلي. ومن مخاطر قرصنة البرمجيات تشمل هناك: منصة الألعاب بخار، WeGame منصة لعبة، تينسنت QQ، DNF، كروس فاير، جامعة أساطير. التكوين، كما هو مبين أدناه:

تحميل التكوين فيروس

تينسنت ف ف، DNF، عبور تلك مكتوبة صدر الألعاب فاير واير في دلفي، من خلال تزوير اللعبة شاشة تسجيل الدخول والخداع التي يسببها من المستخدم إدخال كلمة المرور حساب اللعبة، سيتم إرسال الوصول إلى كلمة المرور الحساب إلى البعيد C & C الخادم (hxxp: // لدينا. zouxian1.cn). كود ذات الصلة، كما هو مبين أدناه:

تقديم رقم الحساب وكلمة المرور

هي مزورة الدوري، WeGame منصة الألعاب أيضا شاشة تسجيل الدخول في اللعبة، والحصول على حساب اللعبة المستخدم وكلمة المرور، وسيتم إرسال كلمة مرور حساب لجهاز التحكم عن بعد C & C الخادم (hxxp: //we.zouxian1.cn). كود ذات الصلة، كما هو مبين أدناه:

تقديم رقم الحساب وكلمة المرور

عندما يسرق الألعاب منصة البخار كلمة مرور حساب، فإن الفيروس الأول الذي صدر تحت الدليل libsteam.dll البخار واستدعاء دالة تم تصديرها InstallHook المكتبات الديناميكية لتثبيت هوك العالمي. كود ذات الصلة، كما هو مبين أدناه:

استدعاء دالة تصدير

مكتبة ديناميكية سيتم تثبيت ربط العالمي، وتستخدم لإقحام نفسها في عملية البخار، يتم حقن البخار في وظيفة عندما SteamUI.dll عملية في الضوابط TextEntry المتعلقة باعتراض كلمة مرور حساب المستخدم. حقن جزء من التعليمات البرمجية، كما هو مبين أدناه:

تثبيت هوك العالمي

HOOK SteamUI.dll تستخدم لاعتراض كلمة مرور حساب المستخدم. ربط كود ذات الصلة، كما هو مبين أدناه:

HOOK SteamUI.dll

سيتم إرسال رقم الحساب المسروقة، ونفس الشيء لعن بعد C & C الخادم (hxxp: //zouxian1.cn). كود ذات الصلة، كما هو مبين أدناه:

تقديم رقم الحساب وكلمة المرور

ثالثا، تحليل التتبع

ويتضمن التقرير قد معالجة المعلومات التتبع المكتسبة المعلومات صافي الخيل والمعلومات ذات الصلة الفيروس، تجزئة معلومات فيما يلي تحليل التتبع.

صافي التتبع الحصان

من خلال تتبع yyakeq.cn اسم النطاق، ووجدت ce56b.cn من اسم المجال المذكورة أعلاه تسمى "الطيف وهان يو تنغ التكنولوجيا المحدودة"، ودعا "تصميم الفضاء الأخضر شاودونغ الهندسية المحدودة"، وتسجيل الشركات، والشركتين أيضا الآلاف من الأسماء المسجلة على الأقل وهذا يعني على ما يبدو، وأسماء النطاقات تقريبا بشكل عشوائي، وتشير أسماء النطاقات لبعض صفحات الاحتيال واضحة تحتوي على محتوى (كما هو موضح أدناه)، لذلك أنا لا أريد أن استبعاد هذه أسماء النطاقات المستخدمة في مستقبل الخدمات C & C DGA (الحيوي الجيل خوارزمية) المجال.

واحد من اسم المجال مشيرا إلى محتوى الصفحة معلومات تسجيل اسم النطاق yyakeq.cn

معلومات تسجيل اسم النطاق ce56b.cn

جزء من اسم المجال يشتبه DGA

جزء من اسم المجال يشتبه DGA

القرصنة تتبع فيروس

عن طريق القرصنة فيروس URL التي تم جمعها من الاستعلام الهوإز، يمكنك الحصول على المعلومات التالية:

zouxian1.cn معلومات تسجيل اسم النطاق

بالإضافة إلى معلومات تسجيل اسم النطاق من خلال الاتصالات وعلب اتصال نظرة العكسي، الشخص المسمى في نفس 201820 أبريل JCP تسجيل 15 تقريب المجال:

تسجيل اسم النطاق نتائج البحث العكسي

وبالإضافة إلى ذلك، وجد التحقيق الذي أجراه برنامج المقارنات الدولية للسجل، التي هي أيضا جزء من اسم المجال بعد السجل الشخصي ICP:

نتائج قياسية ICP

وفي نفس اليوم (20 أبريل 2018)، الذي أيضا استخدام صندوق البريد نفس QQ (2659869342@qq.com) واسم مختلف مسجلة اثنين من أكثر أسماء النطاقات مماثلة إلى النموذج السابق أسماء النطاقات، كما هو مبين أدناه:

تسجيل اسم النطاق نتائج البحث العكسي

IV، التذييل

المشاركة في SHA256 عينات النص:

* الكاتب: صوفان آمنة، وأعيد طبعه من FreeBuf.COM