您现在的位置: 华盟网 >> Hack >> QQ 黑客 >> 正文

[组图]QQ盗号木马黑色产业链追踪

2015/12/14 作者:安天追影 来源: freebuf
导读 黑色产业链之qq盗号追踪

  0×0 概述

  近期安天追影小组利用威胁感知系统捕获到一起木马传输事件,黑客组织通过 QQ 盗号木马,盗取受害者账号及密码。此次事件受害机器数量颇多,波及范围已达 25 个省市以上,并且情况仍在持续恶化中。

  分析小组加紧跟进此事件后发现,除 QQ.exe 以外,地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏客户端也被该木马劫持。被劫持的对象多为腾讯旗下的游戏,这些游戏的密码和 QQ 的账号密码是通用的。主要通过网页挂马、游戏外挂等方式进行传播,长期大范围传播盗号木马,形成一条完整的游戏盗号产业链。QQ帐号被盗取后QQ空间出现办理信用卡的广告贴。该木马弹出的高仿界面与真实QQ 窗口相比不含菱形动画效果,二维码也无法打开,请用户在登录时谨慎操作,避免盗号事件发生。

  0×1 样本分析

  威胁感知系统在http://*.*.*.54:188/my/qqq.ico位置传输木马,qqq.ico实则是一个EXE格式文件,运行这个样本,我们发现这个恶意样本劫持了QQ进程。qqq.ico是一个下载者,下载qq1.css,qq1.css也是一个EXE程序,运行之后会检查进程里是否含有QQ.exe,如果发现了就立即终止QQ进程,将原有的QQ窗口替换成为自己设定的窗口,这样发送的用户名和密码会轻易地发送到黑客手上。发送完毕之后,返回原来正常的QQ窗口,进行正常的登录行为。如下图所示,是qqq.ico恶意盗取QQ用户的用户名和密码的方式。

  



  图1 真假QQ窗口

  左面真实QQ 窗口有菱形动画,并且二维码可以点用于开手机登录,右边是伪装的窗口无菱形动画,二维码无法打开。当用户添加真实的QQ号和密码会进行验证,盗号程序会通过HTTP上传QQ用户名密码,发送数据如下:

  GET /qq1/lin.asp?Action=AddUser

  



  图2 发送盗号数据

  0×2 网络架构分析

  放马站点持续活跃超过1年,并有相关架构至少在三个挂马组织中使用,除 QQ.exe 以外,地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏,每个游戏的结构都不同,abc.txt是放马的下载列表,都是以ico结尾的,实际是EXE文件。

  



  图3 放马配置文件

  放马网站捆绑了众多的域名

  



  图4 放马网络域名

  0×3 受害者分析

  安天威胁预警平台对该盗号团伙进行了监控,自2015年9月6日起到2015年11月6日,随机抽取了六万数据做了分析,全国范围内的都出现了受害者,其中以重庆的受害者居多,达到总数的18%,黑龙江紧随其后,两地占据了总受害者的1/4以上。该样本传播范围极广,涉及到25个省和直辖市。截止报告完成之日,持续有更多的受害者出现。

  



  图5 受害地域分布

  被盗QQ空间主要被发了信用卡办理网站和网络兼职等黑广告。

  





  图6 受害者空间动态

  0×4 黑客追踪

  大部分的域名都是GODADDY注册的,百密一疏,追影小组的网络犯罪追踪人员还是发现了一个域名的注册邮箱,一个叫“china”QQ昵称的黑客所拥有,其QQ签名为“长期收购一手安装量”,这就是在QQ盗号产业中的专业放马人!

  



  0×5 总结

  虽然我们观察到的盗号的一个效果是发小广告,在盗号黑产的过程中有非常多的利用,QQ诈骗就是其中之一。另关于利用外挂藏后门定向钓取QQ游戏用户的盗号框架敬请下回分解。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack: 没有了
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴