解密中国网络游戏业的黑暗骑士:响尾马(上)

最新推荐文章于 2020-06-04 20:59:45 发布
最新推荐文章于 2020-06-04 20:59:45 发布
阅读量62 收藏
点赞数

作者:趋势科技资深威胁研究人员LionGu

截至2009年12月,约有2亿6千5百万,或全中国境内68.9%的因特网使用者,曾玩过在线游戏。中国共计有750个在线游戏供货商,总收益约达250亿人民币。

引言

在线游戏在中国非常热门。事实上,截至200912月为止,约有2亿65百万,或全中国境内68.9%的因特网使用者,曾玩过在线游戏。同一时期中国共计有750个在线游戏供货商,总收益约达250亿人民币

在线游戏玩家不只在游戏上花许多时间,同时也花了高额的金钱。为了提升在线游戏体验,玩家投入金钱购买虚拟资产如黄金,手工艺品;以及如能量升级(powerleveling),黄金农场(goldfarming),及其它在数个在线交易平台以实体货币交易(realmoneytrading,简称RMT)等类的服务。多数的在线交易平台皆为公开的市场,任何人皆可使用简易的付款机制来买卖虚拟资产或服务。种种因素皆促使RMT实体货币交易市场逐渐扩大,虚拟资产收益总额在2009年约达人民币340亿元

网络犯罪份子当然不会放过如此庞大的商机,因此制作出Trojan木马工具组来偷盗玩家账户凭证,并贩卖受害玩家所累积的虚拟资产。网络犯罪份子因此更能轻易地取得金钱,也使得在线游戏Trojan木马成为中国一大安全威胁。

在线游戏Trojan木马的繁衍改变了地下经济。地下经济出现了新角色,如将Trojan木马,以及虚拟资产窃盗者及买家。

本研究报告将介绍一款热门的在线游戏Trojan木马工具组,名为响尾马(XiangWeiMa,简称XWM的工具组,即响尾木马之意,其主要的攻击目标为中国的热门在线游戏。

XWM工具组概论

XWM工具组包括21个附有后台伺服组件的Trojan木马产生器,每一个皆针对一款中国热门的在线游戏。多数的目标对象皆是中国当地的在线游戏。

1XWM工具组Trojan木马产生器

XWM工具组的目标特别是下列的中国在线游戏:

后台服务器是一个接收Trojan木马传送所窃得数据的网站。网络犯罪份子利用这个被他们称之为信箱的网站储存偷盗得来的数据。

2XWM工具组后台伺服组件

后台服务器是一个接收Trojan木马传送所窃得数据的网站。

木马产生器

XWM工具组中的Trojan木马产生器需要先行设定才能用以产生新的Trojan木马。使用者需要将后台服务器的URL输入到工具组的功能设定模块中,才能接受所制作出来的Trojans木马所偷盗得的资料。

3XWM工具组功能设定窗口

设定模块同时备有压缩选项,用户可选择是否压缩所制作的Trojans木马。XWM工具组使用一个叫做Upack的封装器来压缩恶意使用者所制作的Trojans木马。

4、使用Upack来压缩使用XWM工具组制作的Trojans木马

在按下制作(Generate)键后,XWM工具就会产生新的.EXETrojan木马。

XWMTROJANS木马及组件

当执行XWMTrojan木马时,会将下列档案投掷入受感染的系统中:

%system32%/{4个随机字母}.dll

%system32%/{4个随机字母}.cfg

%system32%/drivers/msacpe.sys

XWMTrojan木马的恶意程序其实相当简单。首先会产生一个.DLL和一个.CFG文件到被感染的系统中,这两个程序皆使用4个随机字母做为名称。接着将.DLL档案载入系统内存中。这个档案程序具有下列主要功能:

终止安全软件运作。会终止和一个中国安全软件供货商360相关的数个运作。

产生一个启动程序并制作与其相关的服务。产生一个名叫msacpe.sys的启动程序,接着制作出名为mseqsv的服务,并利用前者做为图片文件。其作用在做为此恶意软件的网络嗅探器,可从被感染的系统偷盗数据。

偷盗在线游戏数据。为达此目的,程序会搜寻在线游戏配置文件案如config.iniinfo.ini及其它含有以下数据的档案:

使用者名称

在线游戏服务器名称

在线游戏服务器所在区域

程序接着搜寻与在线游戏相关的流程,并读取其记忆空间,以便窃取以下数据:

游戏角色

游戏层级

虚拟货币金额

msacpe.sys找到与目标在线游戏相关的流程时,便会将程序代码注入程序中,并从程序中取得如密码等的数据。

将窃得的数据传送给后台服务器。程序同时也会将到手的数据传送到网络犯罪份子所持有的后台服务器。程序使用以下字符串做为URL的参数:

?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的参数有8种变化如下:

a=在线游戏服务器所在区域

s=服务器名称

u=使用者名称

p=密码

r=角色

l=层级

m=虚拟货币

pin=个人辨识码(personalidentificationnumber,简称PIN

Trojan木马会使用所说的参数将偷来的数据回传给后台服务器。msacpe.sys档案会协助.DLL档案偷盗数据。.CFG档因此只包含加密的后台服务器URL,在设定Trojan木马产生器时加入。

待续...

iteye_887
关注
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
热门推荐
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
解密中国网络游戏黑暗骑士响尾马(下)
亚信安全-云安全博客
12-17 955
作者:趋势科技资深威胁研究人员Lion Gu 本文延续一窥中国快速发展中的地下在线游戏经济- XWM Trojan木马工具组剖析(上)后台服务器接受Trojan木马窃得的数据。服务器是一个使用了活动服务器网页(Active Server Pages,简称ASP)技术的网站。为了测试这个恶意软件,我们设了一个使用了因特网信息服务(Internet Information Services,简称IIS)的网站。如图所示,后台服务器需要用户名称和密码以便登入。 图5、后台服务器登入页面 后台服务器备有4个主要功能
英语词根词缀记忆法
dangerous_fire的专栏
02-06 3万+
英语词根词缀记忆法(全集)  前言          英语单词的构词规律也是有规可寻的。单词是由词素构成的,词素派生出词义。单词的数量虽然浩瀚,但构成其的词素的数量却是有限的。如果掌握了词素,懂得基本的构词方法,就能容易地识记单词,突破记忆单词这一难关。 词素又是由词根和词缀两部分组成的,而词缀又分为前缀和后缀。常用的252个词根和289个词缀,掌握了这些词素便可掌握绝大
上帝掷骰子吗--量子物理史话
FinalC的专栏
12-18 3万+
  上帝掷骰子吗--量子物理史话     第一章黄金时代     一     我们的故事要从1887年的德国开始。位于莱茵河边的卡尔斯鲁厄是一座风景秀丽的城市,在它的城中心,矗立着著名的18世纪的宫殿。郁郁葱葱的森林和温暖的气候也使得这座小城成为了欧洲的一个旅游名胜。然而这些怡人的景色似乎没有分散海因里希?鲁道夫?赫兹(Heinrich Rudolf Hertz)的注意力:现在他正
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
MyApplication.zip
09-24
MyApplication
嵌入式学习之基本型发射极耦合式多谐振荡器.zip
09-24
嵌入式学习,电子信息技术
基于麻雀搜索优化算法SSA-BiTCN-BiGRU-Attention的风电预测算法研究Matlab实现.rar
09-24
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专的大学生课程设计、期末大作和毕设计。 替换数据可以直接使用,注释清楚,适合新手
python广度优先搜索详细介绍.txt
09-24
python广度优先搜索详细介绍.txt
嵌入式学习之多谐—张弛振荡器.zip
09-24
嵌入式学习资料电子信息与技术
ASP毕设课设参考资料-ASP基于WEB购物系统(论文+源代码+开题报告+答辩PPT+操作说明).zip
09-24
ASP毕设课设参考资料-ASP基于WEB购物系统(论文+源代码+开题报告+答辩PPT+操作说明)ASP毕设课设参考资料-ASP基于WEB购物系统(论文+源代码+开题报告+答辩PPT+操作说明)
详细介绍一下c sharp语言 深度优先搜索.txt
09-24
详细介绍一下c sharp语言 深度优先搜索.txt
基于Vue的湖南电子科技职学院课程作实操设计源码
09-24
该项目是基于Vue的湖南电子科技职学院课程作实操设计源码,总计147个文件,其中包括76个Vue组件文件、42个JavaScript脚本文件、9个JPEG图片文件、5个ZIP压缩文件、3个HTML页面文件、2个KEEP文件、2个ICO图标文件、2个MAP源映射文件、2个JSON数据文件以及2个PNG图像文件。该源码专为湖南电子科技职学院(Hunan Electronic Technology Vocational College,简称HNDZKJZYXY)的课程和作实操记录而设计,旨在提高教学互动和实操效率。
python自动化测试16:pytest 参数化
09-24
一、参数化 1. parametrizing 2. 参数组合 二、yaml文件 1.读yaml文件 2.测试数据分类 三、mark标记 1.skip跳过用例 2.mark
verilog-wishbone-master.zip
最新发布
09-24
verilog-wishbone-master.zip
金融网络安全攻防比赛:解密挑战解析
"金融网络安全攻防比赛的测试题解答提供了几个关于网络安全的案例,涉及到ASCII码转换、文件格式解析和网络流量分析等技术。" 在金融网络安全攻防比赛中,参赛者需要解决各种实际的安全问题。第一道题是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值