吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 43187|回复: 141
收起左侧

[PC样本分析] 四十余款破解工具携带病毒 盗取用户信用卡账户等隐私信息

    [复制链接]
火绒安全实验室 发表于 2018-5-25 18:10
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2018-5-25 20:46 编辑


一、 概述
近日,火绒安全团队截获病毒“Socelars”,正通过KMSpico、Adobe Photoshop 等四十余款软件破解工具进行传播。该病毒会利用被感染用户的facebook临时登录凭证,专门窃取用户当前绑定的信用卡账户信息。
在本次截获到的样本中,该病毒被植入在KMSpico、WindowsLoader等四十余种破解工具中,具体带毒破解工具列表如下图所示。用户一旦下载运行携带病毒的软件,就会激活病毒。

病毒“Socelars”首次出现于2017年8月,至今依然活跃,并且持续不断的更新变种。
该病毒入侵电脑后,会获取用户facebook网站的登录凭证,然后利用会话劫持,获取当前用户绑定的信用卡账户、好友信息等隐私数据。
由于国内外大多数安全厂商会将破解工具识别为病毒,不论它是否真的包含恶意代码。所以,很多用户在下载使用破解工具时,会认为安全软件的报毒都是误报,直接关闭安全软件,或选择信任,形成了心理盲区。部分病毒制作者正是利用这种心理,混进了安全软件的信任列表,我们之前报道过的Justler病毒,也是利用相似的方法来躲避安全软件的查杀。

“火绒安全软件”通过基于虚拟沙盒的反病毒引擎进行报毒,仅会对真正具有病毒行为的软件报毒,因此建议用户面对报毒的软件提高警惕,“火绒安全软件”最新版可查杀病毒“Socelars”。同时,建议大家通过官方网站下载软件,避免遭到病毒攻击。
二、 详细分析
“Socelars”盗号木马主要通过软件破解工具进行传播,我们收集到的带毒破解工具文件名信息示例,如下图所示:


带毒破解工具列表
由于用来传播的破解软件逻辑大致相同,本次报告中以KMSPicoActivator.exe为例。当用户运行带毒的破解工具时,病毒会在Temp目录下释放一个名为ic-0.5263f1c2dfac04.exe的下载者病毒(TrojanDownloader/Socelars.a),该模块负责下载和安装另外两个盗号模块winhttp.dll(TrojanSpy/Socelars.c)和XService.dll(TrojanSpy/Socelars.b)。两个盗号模块会查询浏览器Cookie等文件中存储的与facebook相关的登陆凭证,然后利用会话劫持的攻击技术,获取当前用户facebook账户中的支付信息、好友信息等,并将其发送到C&C服务器(hxxp://api.jiekou666.com)。“Socelars”盗号木马完整的病毒逻辑,如下图所示:


“Socelars”盗号木马执行流程
下面对各模块逐个展开详细分析。
TrojanDownloader/Socelars.a(ic-0.5263f1c2dfac04.exe)
当病毒运行时会判断当前系统是否安装有Chrome浏览器,如果安装了,则从注册表中读取其安装路径InstallLocation。相关代码,如下图所示:


获取Chrome安装路目录
然后判断该路径下chrome.exe程序的平台版本(x86/x64),根据平台版本不同从C&C服务器(hxxp://down.dll-down.com)下载相应版本的病毒动态库winhttp.dll到Chrome安装目录下。之后遍历进程,如果当前系统中Chrome浏览器正在运行,则会将浏览器进程结束,再利用镜像劫持,使Chrome浏览器再次执行时加载包含有恶意代码的winhttp.dll。相关代码逻辑,如下图所示:


利用镜像劫持技术加载winhttp.dll
使用火绒剑观察winhttp.dll的加载情况,如下图所示:


使用火绒剑观察winhttp.dll的加载情况
接下来,该病毒会判断%USERPROFILE%\AppData\Local\XService\XService.dll这个病毒文件是否存在,如果不存在,则从C&C服务器下载此动态库,并调用其InstallSvc导出函数,将其注册为名为WinService的系统服务。主要病毒逻辑,如下图所示:


下载并执行XService.dll
TrojanSpy/Socelars.c(winhttp.dll )
winhttp.dll利用镜像劫持技术,在Google Chrome浏览器运行时被加载,执行DllEntryPoint中的病毒代码。为了不影响Chrome浏览器正常运行,该病毒动态库会在运行后加载系统中正常的winhttp.dll,并将自身的导出函数代码修改为跳转到正常winhttp.dl的l相应导出函数地址上,以避免程序在执行过程中出错。以WinHttpOpen为例,如下图所示:


病毒修改导出函数
所以当chrome程序运行之后,可以利用火绒剑观察到chrome.exe进程中含有两个winhttp.dll模块,其中安全状态为“未知文件”的模块为病毒模块,如下图所示:


火绒剑截图
病毒会获取当前进程的完整映像,并判断当前映像是否为chrome.exe,若是,则创建一个互斥量{284B2F0A-C0FF-6D76-903F-71C3FC854C92},以防止病毒多次运行。相关代码,如下图所示:


判断当前进程并创建互斥量
然后创建一个线程spy_main:

该线程会通过SQL语句去查询%appdata%\Local\Google\Chrome\User Data\Default目录下的cookies文件和Login Data文件,从而获得的name(用户名)和host_key(所属域名信息)字段。相关查询逻辑,如下图所示:


查询Cookie文件中的敏感信息
不同数据文件与对应的SQL语句,如下图所示:


数据文件与查询所使用的SQL语句
利用SQL语句查询Login Data中的敏感信息:


利用SQL语句查询Login Data中的信息
利用SQL语句查询cookies文件中的临时登录凭证,如下图所示:


查询cookies文件中的敏感信息
当病毒获取到Cookie中的c_user(用户ID)和xs(身份验证令牌)之后,可以实现对facebook网站的会话劫持,以Cookie所有者身份访问服务器,并获取该用户的支付方式,公共主页,好友信息等敏感信息。相关代码,如下图所示:


代码片段
以获取支付信息为例,下图为病毒利用会话劫持请求当前用户的facebook支付信息:


会话劫持的方式请求facebook支付信息页面
请求到的配置文件,如下图所示:


配置文件
病毒会匹配其中的“credit_cards”(信用卡账号)和“paypals”信息。相关代码,如下图所示:


匹配paypals等信息
当病毒获取到所需的敏感信息之后,会将这些数据构造成json文件格式,然后将其发送到C&C服务器(hxxp://api.jiekou666.com)。相关代码,如下图所示:


代码片段
向C&C服务器发送敏感数据,如下图所示:

上述会话劫持和获取用户隐私信息相关代码逻辑与XService.dll中代码逻辑相同,下文中不再赘述。
TrojanSpy/Socelars.b(XService.dll )
        该病毒动态库被下载并注册为系统服务(WinService),以实现病毒的长期驻留和自启动。相关代码逻辑,如下图所示:


将病毒注册为系统服务
该病毒会去查找相关目录下保存的Microsoft Edge和Internet Explorer浏览器的Cookie文件,且其查找逻辑相似,以Microsoft Edge为例,其查找Cookie文件的逻辑,如下图所示:


病毒查找Edge浏览器Cookie文件
不同浏览器Cookie文件存放目录:

之后病毒会利用与winhttp.dll相同的会话劫持技术,获取当前用户的facebook账户中的支付信息、好友信息等隐私数据。
三、 附录

文中涉及样本SHA256:


免费评分

参与人数 48吾爱币 +45 热心值 +45 收起 理由
zhenghao112 + 1 + 1 我很赞同!
penliany00 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
日落繁星 + 1 热心回复!
qwe110120v + 1 + 1 用心讨论,共获提升!
叶隽 + 1 谢谢@Thanks!
lhh7771117 + 1 + 1 用心讨论,共获提升!
重置001 + 1 用心讨论,共获提升!
DanStone + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
king669 + 1 + 1 谢谢@Thanks!
齐恩 + 1 + 1 感谢贫穷·救我狗命
160236164 + 1 + 1 感谢防火墙就我狗命Orz233
bbn + 1 + 1 我很赞同!
zzoomm + 1 + 1 热心回复!
ahmeijian + 1 + 1 谢谢@Thanks!
布丁猫 + 1 + 1 谢谢@Thanks!
温柔的一哥 + 1 + 1 用心讨论,共获提升!
wxc717294 + 1 + 1 谢谢@Thanks!
mrsdz + 1 + 1 我也中招了,最后使用的软件是本网的迅雷,和系统激活工具,只好重装系统。
斗罗 + 1 + 1 用心讨论,共获提升!
刀涂 + 1 + 1 谢谢@Thanks!
xu3274263 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
旧梦落葬 + 1 用心讨论,共获提升!
Tomatoman + 1 + 1 谢谢@Thanks!
wwq0312 + 1 + 1 用心讨论,共获提升!
粉藍弟 + 1 + 1 谢谢@Thanks!
zhanhyg + 1 + 1 谢谢@Thanks!
天羽华客 + 1 + 1 谢谢@Thanks!
巭孬嫑勥烎 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
老是卖你们 + 1 火绒大法
lookerJ + 1 + 1 热心回复!
戏言19 + 1 + 1 谢谢@Thanks!
sunnylds7 + 1 + 1 热心回复!
尚三宝 + 1 + 1 我很赞同!
asionyu + 1 + 1 我们有G......GFW
silvanevil + 1 + 1 谢谢@Thanks!
JavaSM + 1 + 1 热心回复!感谢分享!
lm180180 + 1 + 1 谢谢@Thanks!
方妍心 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hhhh1230 + 1 + 1 谢谢@Thanks!
躲在角落看繁华 + 1 用心讨论,共获提升!
reetin + 1 + 1 专业的态度。
似梦流年丶 + 1 + 1 em。。。。。。我没有facebook
Darnell + 1 + 1 谢谢@Thanks!
Lucas丶 + 1 + 1 热心回复!
心病 + 1 + 1 热心回复!
O丶ne丨柒夜彡 + 1 + 1 谢谢@Thanks!
lin_xop + 1 热心回复!
莫愁前路无知己 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

cc20911 发表于 2018-5-25 18:33
我连facebook都登不上。
菜鸟小白啊 发表于 2018-5-27 08:51
兔司机 发表于 2018-5-25 20:59
对这个不懂   所以不会去乱搞  害怕中毒  我可不想拿我的3TB高清无码的资源开玩笑

比你少点!!我才500M的种子
anyucompany 发表于 2018-5-25 18:26
男猫 发表于 2018-5-25 18:26
墙外面真的危险
l5137 发表于 2018-5-25 18:27
对于小白而言 激活工具还是别随便百度
pmc 发表于 2018-5-25 18:30
这么可怕吗?论坛下载的应该还好吧,那些下载站的东西我感觉不大可靠
lnshijia 发表于 2018-5-25 18:37
火绒安全软件不错
落日余辉x 发表于 2018-5-25 18:37
破解工具都是从一些个人博客上下载的
didi科学家 发表于 2018-5-25 18:43
用百度搜索激活工具,除非自己嫌电脑太干净!找能信任的个人博客下载比较好,下载站从来没信过~
井中观 发表于 2018-5-25 18:50
谢谢分享。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表