导语:近期研究人员发现一个专门从事各类免费游戏辅助的开发或二次打包,并进行推广的神秘黑客组织。该组织已经将免费游戏辅助背后的黑产流程化,开发了打包各种游戏辅助的专用工具,以实现浏览器主页劫持。

1. 概述

生活中游戏娱乐是必不可少的,尤其是竞技类的网络游戏,吸引着大批的玩家,有的玩家会进行充值购买装备,而有的玩家则会选择购买游戏辅助(或叫游戏外挂),以达到游戏娱乐的快感。网上既有收费的游戏辅助,也有各种免费游戏辅助,且免费游戏辅助的量非常大,网上随便搜索都能找到一堆。为啥会有这么多免费游戏辅助呢?是不是网络上的游戏辅助作者都是”活雷锋”呢?其实不然,这些免费游戏辅助背后都隐藏着玄机。

近期360互联网安全中心就发现一个专门从事各类免费游戏辅助的开发或二次打包,并进行推广的神秘黑客组织。该组织已经将免费游戏辅助背后的黑产流程化,开发了打包各种游戏辅助的专用工具(见图1.1),以实现浏览器主页劫持。这些藏猫腻的免费游戏辅助遍布国内各大网络下载站,近一年来劫持次数已达千万量级,从中牟利也达数百万。

图1.1.png

图为游戏辅助打包工具(图1.1)

这些游戏辅助全部为绿色版,下载直接运行后,会进行自动更新,更新的过程中会修改用户电脑桌面上的浏览器的快捷方式,劫持用户电脑的浏览器主页,且在游戏辅助运行时,会在用户电脑上进行流氓推广,用户电脑上会不知不觉的被装上各种软件。其中用户电脑上浏览器劫持到什么主页,推广什么软件等等这些行为均被该黑客组织所云控,且该云控配置会不定时更新,让所有的游戏辅助用户的电脑成为了他们谋取暴利的工具。由于该黑客组织所传播的游戏辅助多大20多种,这里就不一一分析了,我们以它的“极品辅助盒子”为例,来分析下该黑客组织是如何云控着他们的黑产谋取暴利的。

2. 极品辅助盒子云控操作详细分析

2.1. 极品辅助盒子打包配置:

该极品辅助盒子包含了目前市面上比较热的8款游戏(图2.1.1),该黑客组织通过用他们的专用工具(图2.1.2),将他们的云控地址配置入他们游戏辅助程序中。该黑客组织还有比较成熟的体系,对配置工具还做了权限控制(图2.1.3),只有被授权了的qq才能成功打开配置工具。

图2.1.1.png

图为极品辅助盒子启动界面(图2.1.1)

图2.1.2.png

图为极品专用编辑工具界面(图2.1.2)

图2.1.3.png

图为极品专用编辑器登陆权限验证(图2.1.3)

2.2. 极品辅助盒子的云控服务器配置,云控下载文件列表配置:

该黑客组织的云控配置数据是加密的,他们有专门的配置工具来获取和修改他们的云控配置文件。他们的云控配置包含三个方面:导航配置(图2.2.1)、辅助配置(图2.2.2)、授权配置(图2.2.3),且该专用工具还具备给文件签名的功能。

图2.2.1.png

图为该黑客组织的当前导航配置数据(图2.2.1)

图2.2.2.png

图为该黑客组织的当前辅助配置数据(图2.2.2)

图2.2.3.png

图为该黑客组织的当前授权配置数据(图2.2.3)

该黑客组织的云控服务器,云控的地址如下表:

云控服务器域名

dh-down.oss-cn-hangzhou.aliyuncs.com和112zm.com

云控服务器IP

120.27.176.250和122.227.164.191

云控具体地址

http://dh-down.oss-cn-hangzhou.aliyuncs.com/dh.jb

http://dh-down.oss-cn-hangzhou.aliyuncs.com/jp.jb

http://dh-down.oss-cn-hangzhou.aliyuncs.com/sq.jb

http://dh-cfg.112zm.com/dh.jb

http://dh-cfg.112zm.com/jp.jb

http://dh-cfg.112zm.com/sq.jb

http:// dh-cfg.liuxue789.cn/dh.jb

http:// dh-cfg.liuxue789.cn/jp.jb

http:// dh-cfg.liuxue789.cn/sq.jb

 

2.3. 极品辅助盒子使用人数的监控,以及游戏辅助修改劫持用户电脑主页的统计:

该黑客组织有一套完整的黑产系统,他们有辅助人气监控平台(图2.3.1)监控他们游戏辅助的运行情况,如果被杀软查杀和拦截了,他们可以第一时间了解游戏辅助数据变化情况,然后采用新的方法来跟杀软对对抗。还能统计出他们每天劫持主页IP数量、软件推广情况等等,以便他们跟渠道核对最后的收益。

图2.3.1.png

图为黑客组织的数据监控工具(图2.3.1)

其人气等数据统计的后台服务器地址是:

http://112zm-xg.oss-cn-hongkong.aliyuncs.com/wz/jpda.xml

http://www.lg233.com/wz/jpda.xml

2.4. 极品辅助盒子的劫持导航页的云控配置:

该黑客组织在对用户电脑浏览器所劫持到的主页也采用了云控的方式,他们通过访问自己的云服务器上的一个js脚本,js脚本再根据访问时候传递的参数,来跳转到他们需要劫持的浏览器主页去,从而实现了云控用户电脑劫持主页。且该黑客组织还加了cnzz的统计,以便跟锁主页的渠道商核对他们的收益情况。

2.4.1.png

图为黑客服务器上的的用来做跳转的主页(图2.4.1)

该黑客的服务器主页地址如下:

http://dh.112zm.com/

http://dh.liuxue789.cn/

2.5. 经过木马作者信息的追踪,我们还发现该黑客组织在之前还利用博客(http://jpzm.blog.163.com/)来进行发布云控地址等等,该博客地址没啥内容,上面都是一些16进制数据,是用来存放云控相关数据的。

2.5.1.png

图为该木马作者的网易博客截图(图2.5.1)

3. 劫持导航的核心程序分析

该黑客组织的云控的核心程序其实分成三部分:

2.5.1(1).png

3.1. 利用游戏辅助从云控地址下载劫持主页的程序,如极品辅助盒子中的intel.exe

3.3.1.png

图为游戏辅助下载云控配置核心代码(图3.1.1)

其中sub_40EE30就是负责下载文件的主要函数,其支持GET和POST两种方式下载,还支持HTTPS下载,其中核心代码如下截图:

3.1.2.png

图为下载程序的部分代码(图3.1.2)

3.2. 启动intel.exe程序,访问云控配置id.js脚本,生成或修改用户桌面上的浏览器快捷方式以及用户电脑快速启动项的浏览器快捷方式,以达到劫持,不过浏览器携带参数是加密的。

3.2.1.png

图为访问云控主页的脚本id.js部分代码(图3.2.1)

其中该id.js脚本就是根据游戏辅助传递的参数,来决定劫持浏览器主页的劫持地址,且该劫持主页还区分了XP和win7系统,其代码截图如下:

3.2.2(左 ).png3.2.2(B).png

图为id.js的部分代码(图3.2.2)

Intel.exe程序会遍历用户电脑桌面上的快捷方式,循环查找用户电脑上的快捷方式,是否包含以下关键字:chrome、360se、世界之窗、firefox、网址大全.lnk、opera、浏览器、上网、导航;如果有就直接修改快捷方式参数,若没有就创建ie浏览器的快捷方式,名字叫”上网_点这里”,且将用户电脑的默认浏览器路径保存至cfg.ini文件中。

3.2.3.png

图为intel.exe程序遍历桌面快捷方式的函数(图3.2.3)

3.2.4.png

图为intel.exe程序创建桌面快捷方式的函数(图3.2.4)

3.2.5.png

图为最后在用户电脑桌面上创建的浏览器快捷方式,带加密参数(图3.2.5)

3.2.6.png

图为cfg.in文件的内容(图3.2.6)

3.3. 当用户点开桌面的浏览器快捷方式时,会启动黑客组织实现下载好的一个白利用程序,该白程序会加载QQPCDetector.dll,该dll会解密快捷方式所带的加密参数,然后该dll访问cfg.ini,获得系统默认浏览器,最后用浏览器打开黑客组织所劫持的主页。

3.3.1.png

图为QQPCDetector.dll中的获取浏览器和解密导航url的函数(图3.3.1)

3.3.2.png

图为QQPCDetector.dll中用浏览器打开导航主页(3.3.2)

4. 传播方式

该黑客组织传播自己木马的主要方式,就是自己开发并维护一些热门游戏辅助,或者使用他们的专有工具二次打包一些热门辅助,这些游戏辅助中都有他们的云控配置代码,具360安全数据中心监控到的数据,目前已经有30多种热门辅助携带该黑客组织的云控配置。具体列表如下:

游戏辅助名称

游戏辅助官网

极品辅助盒子

http://www.112zm.com/       http://www.lg233.com/

小望游戏助手

http://www.3ayl.cn/

瑾哥系列辅助

https://www.4399fz.com/jgfz/

魂殇/金牌游戏助手

http://www.4399hs.com/

南瓜辅助

http://www.666ng.com/

残霞游戏助手

http://www.520cxzm.com/

逍遥游戏助手

http://233zm.com/

栀寒枪林弹雨辅助

爆枪英雄梦影辅助

柠檬创想兵团辅助

大战僵尸2辅助

辰时游戏助手

魔影网络_创世兵魂辅助

天雷游戏助手

雨滴全图全皮肤显眼辅助

熾殇创世兵魂辅助

六炽创世兵魂辅助

小苏游戏助手

日网龙辅助

栩哥全图防封测试版

傲天造梦西游2辅助

流星完美漂移辅助

清寒辅助盒子

5. 数据统计

目前该黑客组织所用的导航域名有三个:112zm.com、liuxue789.cn、basi2.cn,其中第一个域名是使用最久,后面两个是被360拦截后,新使用的,我们就用112zm.com,以一年为单位来看看该黑客组织劫持导航的量,该域名是2013-09-01注册的,下图为该域名最近一年的访问量:

5.1.png

图为112zm.com域名一年的访问量曲线图(图5.1)

我们可以看到,该域名的访问量一直比较稳定,一年中中间这段时间波动不大,根据360数据中心监控得到数据,以及根据他们的人气监控工具预估,一年下来该黑客组织劫持用户电脑浏览器主页的数量在千万级别,可想而知该该黑客组织谋取了多少暴利。

6. 危害及防范

目前,利用这些游戏辅助传播木马的黑产行为十分活跃,非法外挂软件“十挂九毒”,一定不要盲目运行,特别是在要求必须退出安全软件才能使用外挂时,更不可掉以轻心。

此外,安装操作系统后,要第一时间安装杀毒软件,对可能存在的木马进行查杀。目前,360安全卫士可以全面拦截该类外挂的云控攻击,大家上网时遇到杀毒软件预警,切不可随意放行可疑程序。

6.1.png

图为360安全卫士的拦截图(图6.1)

源链接

Hacking more

...