游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

本文涉及的产品
对象存储 OSS,20GB 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
对象存储 OSS,恶意文件检测 1000次 1年
简介: 本文讲的是游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万,生活中游戏娱乐是必不可少的,尤其是竞技类的网络游戏,吸引着大批的玩家,有的玩家会进行充值购买装备,而有的玩家则会选择购买游戏辅助(或叫游戏外挂),以达到游戏娱乐的快感。
本文讲的是 游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万生活中游戏娱乐是必不可少的,尤其是竞技类的网络游戏,吸引着大批的玩家,有的玩家会进行充值购买装备,而有的玩家则会选择购买游戏辅助(或叫游戏外挂),以达到游戏娱乐的快感。网上既有收费的游戏辅助,也有各种免费游戏辅助,且免费游戏辅助的量非常大,网上随便搜索都能找到一堆。为啥会有这么多免费游戏辅助呢?是不是网络上的游戏辅助作者都是”活雷锋”呢?其实不然,这些免费游戏辅助背后都隐藏着玄机。

近期360互联网安全中心就发现一个专门从事各类免费游戏辅助的开发或二次打包,并进行推广的神秘黑客组织。该组织已经将免费游戏辅助背后的黑产流程化,开发了打包各种游戏辅助的专用工具(见图1.1),以实现浏览器主页劫持。这些藏猫腻的免费游戏辅助遍布国内各大网络下载站,近一年来劫持次数已达千万量级,从中牟利也达数百万。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为游戏辅助打包工具(图1.1)

这些游戏辅助全部为绿色版,下载直接运行后,会进行自动更新,更新的过程中会修改用户电脑桌面上的浏览器的快捷方式,劫持用户电脑的浏览器主页,且在游戏辅助运行时,会在用户电脑上进行流氓推广,用户电脑上会不知不觉的被装上各种软件。其中用户电脑上浏览器劫持到什么主页,推广什么软件等等这些行为均被该黑客组织所云控,且该云控配置会不定时更新,让所有的游戏辅助用户的电脑成为了他们谋取暴利的工具。由于该黑客组织所传播的游戏辅助多大20多种,这里就不一一分析了,我们以它的“极品辅助盒子”为例,来分析下该黑客组织是如何云控着他们的黑产谋取暴利的。

2. 极品辅助盒子云控操作详细分析

2.1. 极品辅助盒子打包配置:

该极品辅助盒子包含了目前市面上比较热的8款游戏(图2.1.1),该黑客组织通过用他们的专用工具(图2.1.2),将他们的云控地址配置入他们游戏辅助程序中。该黑客组织还有比较成熟的体系,对配置工具还做了权限控制(图2.1.3),只有被授权了的qq才能成功打开配置工具。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为极品辅助盒子启动界面(图2.1.1)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为极品专用编辑工具界面(图2.1.2)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为极品专用编辑器登陆权限验证(图2.1.3)

2.2. 极品辅助盒子的云控服务器配置,云控下载文件列表配置:

该黑客组织的云控配置数据是加密的,他们有专门的配置工具来获取和修改他们的云控配置文件。他们的云控配置包含三个方面:导航配置(图2.2.1)、辅助配置(图2.2.2)、授权配置(图2.2.3),且该专用工具还具备给文件签名的功能。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为该黑客组织的当前导航配置数据(图2.2.1)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为该黑客组织的当前辅助配置数据(图2.2.2)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为该黑客组织的当前授权配置数据(图2.2.3)

该黑客组织的云控服务器,云控的地址如下表:

云控服务器域名

dh-down.oss-cn-hangzhou.aliyuncs.com和112zm.com

云控服务器IP

120.27.176.250和122.227.164.191

云控具体地址

http://dh-down.oss-cn-hangzhou.aliyuncs.com/dh.jb

http://dh-down.oss-cn-hangzhou.aliyuncs.com/jp.jb

http://dh-down.oss-cn-hangzhou.aliyuncs.com/sq.jb

http://dh-cfg.112zm.com/dh.jb

http://dh-cfg.112zm.com/jp.jb

http://dh-cfg.112zm.com/sq.jb

http:// dh-cfg.liuxue789.cn/dh.jb

http:// dh-cfg.liuxue789.cn/jp.jb

http:// dh-cfg.liuxue789.cn/sq.jb

 

2.3. 极品辅助盒子使用人数的监控,以及游戏辅助修改劫持用户电脑主页的统计:

该黑客组织有一套完整的黑产系统,他们有辅助人气监控平台(图2.3.1)监控他们游戏辅助的运行情况,如果被杀软查杀和拦截了,他们可以第一时间了解游戏辅助数据变化情况,然后采用新的方法来跟杀软对对抗。还能统计出他们每天劫持主页IP数量、软件推广情况等等,以便他们跟渠道核对最后的收益。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为黑客组织的数据监控工具(图2.3.1)

其人气等数据统计的后台服务器地址是:

http://112zm-xg.oss-cn-hongkong.aliyuncs.com/wz/jpda.xml

http://www.lg233.com/wz/jpda.xml

2.4. 极品辅助盒子的劫持导航页的云控配置:

该黑客组织在对用户电脑浏览器所劫持到的主页也采用了云控的方式,他们通过访问自己的云服务器上的一个js脚本,js脚本再根据访问时候传递的参数,来跳转到他们需要劫持的浏览器主页去,从而实现了云控用户电脑劫持主页。且该黑客组织还加了cnzz的统计,以便跟锁主页的渠道商核对他们的收益情况。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为黑客服务器上的的用来做跳转的主页(图2.4.1)

该黑客的服务器主页地址如下:

http://dh.112zm.com/

http://dh.liuxue789.cn/

2.5. 经过木马作者信息的追踪,我们还发现该黑客组织在之前还利用博客(http://jpzm.blog.163.com/)来进行发布云控地址等等,该博客地址没啥内容,上面都是一些16进制数据,是用来存放云控相关数据的。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为该木马作者的网易博客截图(图2.5.1)

3. 劫持导航的核心程序分析

该黑客组织的云控的核心程序其实分成三部分:

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

3.1. 利用游戏辅助从云控地址下载劫持主页的程序,如极品辅助盒子中的intel.exe

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为游戏辅助下载云控配置核心代码(图3.1.1)

其中sub_40EE30就是负责下载文件的主要函数,其支持GET和POST两种方式下载,还支持HTTPS下载,其中核心代码如下截图:

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为下载程序的部分代码(图3.1.2)

3.2. 启动intel.exe程序,访问云控配置id.js脚本,生成或修改用户桌面上的浏览器快捷方式以及用户电脑快速启动项的浏览器快捷方式,以达到劫持,不过浏览器携带参数是加密的。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为访问云控主页的脚本id.js部分代码(图3.2.1)

其中该id.js脚本就是根据游戏辅助传递的参数,来决定劫持浏览器主页的劫持地址,且该劫持主页还区分了XP和win7系统,其代码截图如下:

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为id.js的部分代码(图3.2.2)

Intel.exe程序会遍历用户电脑桌面上的快捷方式,循环查找用户电脑上的快捷方式,是否包含以下关键字:chrome、360se、世界之窗、firefox、网址大全.lnk、opera、浏览器、上网、导航;如果有就直接修改快捷方式参数,若没有就创建ie浏览器的快捷方式,名字叫”上网_点这里”,且将用户电脑的默认浏览器路径保存至cfg.ini文件中。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为intel.exe程序遍历桌面快捷方式的函数(图3.2.3)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为intel.exe程序创建桌面快捷方式的函数(图3.2.4)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为最后在用户电脑桌面上创建的浏览器快捷方式,带加密参数(图3.2.5)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为cfg.in文件的内容(图3.2.6)

3.3. 当用户点开桌面的浏览器快捷方式时,会启动黑客组织实现下载好的一个白利用程序,该白程序会加载QQPCDetector.dll,该dll会解密快捷方式所带的加密参数,然后该dll访问cfg.ini,获得系统默认浏览器,最后用浏览器打开黑客组织所劫持的主页。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为QQPCDetector.dll中的获取浏览器和解密导航url的函数(图3.3.1)

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为QQPCDetector.dll中用浏览器打开导航主页(3.3.2)

4. 传播方式

该黑客组织传播自己木马的主要方式,就是自己开发并维护一些热门游戏辅助,或者使用他们的专有工具二次打包一些热门辅助,这些游戏辅助中都有他们的云控配置代码,具360安全数据中心监控到的数据,目前已经有30多种热门辅助携带该黑客组织的云控配置。具体列表如下:

游戏辅助名称

游戏辅助官网

极品辅助盒子

http://www.112zm.com/       http://www.lg233.com/

小望游戏助手

http://www.3ayl.cn/

瑾哥系列辅助

https://www.4399fz.com/jgfz/

魂殇/金牌游戏助手

http://www.4399hs.com/

南瓜辅助

http://www.666ng.com/

残霞游戏助手

http://www.520cxzm.com/

逍遥游戏助手

http://233zm.com/

栀寒枪林弹雨辅助

爆枪英雄梦影辅助

柠檬创想兵团辅助

大战僵尸2辅助

辰时游戏助手

魔影网络_创世兵魂辅助

天雷游戏助手

雨滴全图全皮肤显眼辅助

熾殇创世兵魂辅助

六炽创世兵魂辅助

小苏游戏助手

日网龙辅助

栩哥全图防封测试版

傲天造梦西游2辅助

流星完美漂移辅助

清寒辅助盒子

5. 数据统计

目前该黑客组织所用的导航域名有三个:112zm.com、liuxue789.cn、basi2.cn,其中第一个域名是使用最久,后面两个是被360拦截后,新使用的,我们就用112zm.com,以一年为单位来看看该黑客组织劫持导航的量,该域名是2013-09-01注册的,下图为该域名最近一年的访问量:

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万

图为112zm.com域名一年的访问量曲线图(图5.1)

我们可以看到,该域名的访问量一直比较稳定,一年中中间这段时间波动不大,根据360数据中心监控得到数据,以及根据他们的人气监控工具预估,一年下来该黑客组织劫持用户电脑浏览器主页的数量在千万级别,可想而知该该黑客组织谋取了多少暴利。

6. 危害及防范

目前,利用这些游戏辅助传播木马的黑产行为十分活跃,非法外挂软件“十挂九毒”,一定不要盲目运行,特别是在要求必须退出安全软件才能使用外挂时,更不可掉以轻心。

此外,安装操作系统后,要第一时间安装杀毒软件,对可能存在的木马进行查杀。目前,360安全卫士可以全面拦截该类外挂的云控攻击,大家上网时遇到杀毒软件预警,切不可随意放行可疑程序。

游戏辅助背后的黑产流水线:年劫持攻击千万次牟利数百万




原文发布时间为:2017年9月15日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 物联网 开发工具
第八期| 藏在短视频背后的黑灰产:批量刷票、虚假流量
顶象防御云业务安全情报BSL-2022-a3c11号显示,某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票,严重影响其他用户参与的积极性,给平台的带来大额的资产损失和大量虚假用户,不仅严重破坏了平台生态,而且使得刷票风气盛行,平台活动公平性被质疑,信誉受损。
276 0
第八期| 藏在短视频背后的黑灰产:批量刷票、虚假流量
|
云安全 数据采集 运维
招聘网站的流量隐忧:恶意BOT与流量黑盒
对人力资源服务行业来说,流量犹如一把双刃剑。涌动的流量如同黑盒,在繁荣的背后,各种恶意机器流量、黑产SEO、数据黑手和僵尸程序暗潮涌动,想要看清它们绝非易事。
289 0
招聘网站的流量隐忧:恶意BOT与流量黑盒
|
安全 关系型数据库 Linux
|
机器学习/深度学习 安全
张学友演唱会成犯罪分子噩梦,阿里云云盾人发布脸对比功能将进一步提升罪犯监察力度
学友哥演唱会抓罪犯只是一个缩影,近年来,学校、医院等公众场合发生暴力事件频频发生,我们在追责的同时,如何对危险性事件再次发生做好预防是重中之重。在学校医院门口监控系统提前录入潜逃犯罪分子、精神病患者信息,安保人员可利用人脸比对发现可疑险情。
1978 0
|
安全 测试技术 区块链
游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
6048 0
|
安全 API 数据安全/隐私保护
【阿里聚安全·安全周刊】山寨外挂有风险养蛙需谨慎|健身追踪热度图爆军事基地位置
阿里安全周刊第八十三期,分享本周移动安全热点和技术知识。
2086 0
|
Web App开发 安全 数据安全/隐私保护
一个5年工龄恶意广告软件的生存之道
本文讲的是一个5年工龄恶意广告软件的生存之道,自2017年初以来,ESET研究人员就一直在追踪调查一个针对俄罗斯和乌克兰的复杂攻击。直到最近,研究人员才发现,原来是Stantinko发起的攻击,经过统计,Stantinko是一个自2012年以来,就秘密活动的大规模的广告软件,攻击的用户超过了50万。
1578 0