|
图为极品辅助盒子启动界面(图2.1.1) 
图为极品专用编辑工具界面(图2.1.2) 图为极品专用编辑器登陆权限验证(图2.1.3) 2.2. 极品辅助盒子的游戏云控服务器配置,云控下载文件列表配置: 该黑客组织的辅助云控配置数据是加密的,他们有专门的背后配置工具来获取和修改他们的云控配置文件。他们的产流持攻云控配置包含三个方面:导航配置(图2.2.1)、辅助配置(图2.2.2)、水线数百授权配置(图2.2.3),年劫且该专用工具还具备给文件签名的击千功能。 
图为该黑客组织的次万当前导航配置数据(图2.2.1) 
图为该黑客组织的当前辅助配置数据(图2.2.2) 
图为该黑客组织的当前授权配置数据(图2.2.3) 该黑客组织的云控服务器,云控的牟利地址如下表: |
| 云控服务器域名 | dh-down.oss-cn-hangzhou.aliyuncs.com和112zm.com |
|---|
| 云控服务器IP | 120.27.176.250和122.227.164.191 |
| 云控具体地址 | http://dh-down.oss-cn-hangzhou.aliyuncs.com/dh.jb http://dh-down.oss-cn-hangzhou.aliyuncs.com/jp.jb http://dh-down.oss-cn-hangzhou.aliyuncs.com/sq.jb http://dh-cfg.112zm.com/dh.jb http://dh-cfg.112zm.com/jp.jb http://dh-cfg.112zm.com/sq.jb http:// dh-cfg.liuxue789.cn/dh.jb http:// dh-cfg.liuxue789.cn/jp.jb http:// dh-cfg.liuxue789.cn/sq.jb |
该黑客组织有一套完整的黑产系统,他们有辅助人气监控平台(图2.3.1)监控他们游戏辅助的游戏运行情况,如果被杀软查杀和拦截了,辅助他们可以第一时间了解游戏辅助数据变化情况,背后然后采用新的产流持攻方法来跟杀软对对抗。还能统计出他们每天劫持主页IP数量、水线数百软件推广情况等等,年劫以便他们跟渠道核对最后的收益。
图为黑客组织的数据监控工具(图2.3.1)
其人气等数据统计的后台服务器地址是:
http://112zm-xg.oss-cn-hongkong.aliyuncs.com/wz/jpda.xml
http://www.lg233.com/wz/jpda.xml
2.4. 极品辅助盒子的劫持导航页的云控配置:
该黑客组织在对用户电脑浏览器所劫持到的主页也采用了云控的方式,他们通过访问自己的云服务器上的一个js脚本,js脚本再根据访问时候传递的参数,来跳转到他们需要劫持的浏览器主页去,从而实现了云控用户电脑劫持主页。且该黑客组织还加了cnzz的统计,以便跟锁主页的渠道商核对他们的收益情况。
图为黑客服务器上的的用来做跳转的主页(图2.4.1)
该黑客的服务器主页地址如下:
http://dh.112zm.com/
http://dh.liuxue789.cn/
2.5.该黑客组织还利用博客进行发布云控地址
经过木马作者信息的追踪,我们还发现该黑客组织在之前还利用博客(http://jpzm.blog.163.com/)来进行发布云控地址等等,该博客地址没啥内容,上面都是一些16进制数据,是用来存放云控相关数据的。
图为该木马作者的网易博客截图(图2.5.1)
3. 劫持导航的核心程序分析
该黑客组织的云控的核心程序其实分成三部分:
图2.5.1(1)
3.1. 利用游戏辅助从云控地址下载劫持主页的程序,如极品辅助盒子中的intel.exe
图为游戏辅助下载云控配置核心代码(图3.1.1)
其中sub_40EE30就是负责下载文件的主要函数,其支持GET和POST两种方式下载,还支持HTTPS下载,其中核心代码如下截图:
图为下载程序的部分代码(图3.1.2)
3.2. 启动intel.exe程序
访问云控配置id.js脚本,生成或修改用户桌面上的浏览器快捷方式以及用户电脑快速启动项的浏览器快捷方式,以达到劫持,不过浏览器携带参数是加密的。
图为访问云控主页的脚本id.js部分代码(图3.2.1)
其中该id.js脚本就是根据游戏辅助传递的参数,来决定劫持浏览器主页的劫持地址,且该劫持主页还区分了XP和win7系统,其代码截图如下:
图为id.js的部分代码(图3.2.2)
Intel.exe程序会遍历用户电脑桌面上的快捷方式,循环查找用户电脑上的快捷方式,是否包含以下关键字:chrome、360se、世界之窗、firefox、网址大全.lnk、opera、浏览器、上网、导航;如果有就直接修改快捷方式参数,若没有就创建ie浏览器的快捷方式,名字叫”上网_点这里”,且将用户电脑的默认浏览器路径保存至cfg.ini文件中。
图为intel.exe程序遍历桌面快捷方式的函数(图3.2.3)
图为intel.exe程序创建桌面快捷方式的函数(图3.2.4)
图为最后在用户电脑桌面上创建的浏览器快捷方式,带加密参数(图3.2.5)
图为cfg.in文件的内容(图3.2.6)
3.3. 用户打开浏览器快捷方式
当用户点开桌面的浏览器快捷方式时,会启动黑客组织实现下载好的一个白利用程序,该白程序会加载QQPCDetector.dll,该dll会解密快捷方式所带的加密参数,然后该dll访问cfg.ini,获得系统默认浏览器,最后用浏览器打开黑客组织所劫持的主页。
图为QQPCDetector.dll中的获取浏览器和解密导航url的函数(图3.3.1)
图为QQPCDetector.dll中用浏览器打开导航主页(3.3.2)
4. 传播方式
该黑客组织传播自己木马的主要方式,就是自己开发并维护一些热门游戏辅助,或者使用他们的专有工具二次打包一些热门辅助,这些游戏辅助中都有他们的云控配置代码,具360安全数据中心监控到的数据,目前已经有30多种热门辅助携带该黑客组织的云控配置。具体列表如下:
| 游戏辅助名称 | 游戏辅助官网 |
|---|
| 极品辅助盒子 | http://www.112zm.com/ http://www.lg233.com/ |
| 小望游戏助手 | http://www.3ayl.cn/ |
| 瑾哥系列辅助 | https://www.4399fz.com/jgfz/ |
| 魂殇/金牌游戏助手 | http://www.4399hs.com/ |
| 南瓜辅助 | http://www.666ng.com/ |
| 残霞游戏助手 | http://www.520cxzm.com/ |
| 逍遥游戏助手 | http://233zm.com/ |
| 栀寒枪林弹雨辅助 |
| 爆枪英雄梦影辅助 |
| 柠檬创想兵团辅助 |
| 大战僵尸2辅助 |
| 辰时游戏助手 |
| 魔影网络_创世兵魂辅助 |
| 天雷游戏助手 |
| 雨滴全图全皮肤显眼辅助 |
| 熾殇创世兵魂辅助 |
| 六炽创世兵魂辅助 |
| 小苏游戏助手 |
| 日网龙辅助 |
| 栩哥全图防封测试版 |
| 傲天造梦西游2辅助 |
| 流星完美漂移辅助 |
| 清寒辅助盒子 |
目前该黑客组织所用的导航域名有三个:112zm.com、liuxue789.cn、basi2.cn,其中第一个域名是使用最久,后面两个是被360拦截后,新使用的,我们就用112zm.com,以一年为单位来看看该黑客组织劫持导航的量,该域名是2013-09-01注册的,下图为该域名最近一年的访问量:
图为112zm.com域名一年的访问量曲线图(图5.1)
我们可以看到,该域名的访问量一直比较稳定,一年中中间这段时间波动不大,根据360数据中心监控得到数据,以及根据他们的人气监控工具预估,一年下来该黑客组织劫持用户电脑浏览器主页的数量在千万级别,可想而知该该黑客组织谋取了多少暴利。
6. 危害及防范
目前,利用这些游戏辅助传播木马的黑产行为十分活跃,非法外挂软件“十挂九毒”,一定不要盲目运行,特别是在要求必须退出安全软件才能使用外挂时,更不可掉以轻心。
此外,安装操作系统后,要第一时间安装杀毒软件,对可能存在的木马进行查杀。
*本文作者:360安全
