某传奇游戏登录器劫持分析

逆向工程
#1

某传奇游戏登录器劫持分析

一些乱七八糟的话

某天接到一个样本,说游戏运行之后,在浏览器访问某游戏官方的网站会定向跳转到另一个网站,而且在浏览器搜索该网址关键词也会进行跳转,由于技术比较菜,前前后后看了近一个月,于是就有了这篇文章
有的时候截图中的PID可能不对,还请见谅,因为调这调这程序就跑飞了

基本信息

样本概述

该样本属于供应链劫持,传奇登录器应用下发服务器被入侵,导致软件包被捆绑恶意程序,进行网站劫持。

样本发现日期

2021年7月8号

样本类型

流氓推广,恶意捆绑

样本文件大小

file-size,38185984 (bytes)

样本文件MD5校验值

md5,9621681916E9D27BAE71B84FBBA96015

样本文件SHA1校验值

sha1,78C3E5C75838F9F414072E31E71103BB44F97663

样本文件SHA256校验值

sha256,9F7EE5BECBE18E944195841EAFBB26E213353F7530092D4194E9DD59F8130753

可能受到的威胁的系统

Windows x86

相关漏洞

未涉及

被感染系统及网络症状

文件系统变化

样本主体向服务器获取数据并释放msg_xxxx.jpgrar_xxxx.exerar_xxxx.exe

64
643548×716 205 KB

rar_xxxx.exe程序释放驱动程序
65
653580×668 170 KB

注册表变化

释放的其他程序对注册表的变化没有什么可疑的,驱动对注册表进行了操作

65
653580×668 170 KB

网络症状

网络行为中发现样本的异常
样本执行之后,发起TCP连接

51
513254×208 185 KB

我们启动登录器并配置抓包,发现某个地址被重定向到https://www.aoskal.com
66
663084×1258 517 KB

样本会访问

https://pz.520found.com:86/dll.txt

67
67866×391 92 KB

下载完访问
68
68866×322 21.4 KB

详细分析

静态分析

由于是游戏登录器,我们区分哪些是游戏行为,哪些是恶意软件行为,哪些是外挂行为,这实际上给我们分析带来很大的难度
我们分析字符串的时候发现有调用wininet.dll,发起网络请求

1
11784×382 103 KB

跟进,看到不仅调了wininet.dll还调了wsocks32.dll也是提供网络的请求的
2
21462×2618 847 KB

我们跟进sub_49AD2C这个函数,往上分析
3
31730×2010 528 KB

我们获取了一段创建任务栏提示TaskbarCreated,这样的一段字符串,我们推测应该是登录器先创建一个任务栏提示,然后当我们鼠标点击时,触发条件并加载wininet.dll以及wsocks32.dll发起网络请求
,事实上我们的样本也的确会在任务栏触发这样的一个请求,
4
42702×1878 808 KB

而且会弹出一个框
5
52506×1626 520 KB

经过我们多次尝试,当我们点击的时候劫持就会发生劫持,点击否的时候不会发生劫持,分析到这的时候,让我想起来技术手段可能是APC注入
继续往下分析
6
61776×756 169 KB

调了kernel32.dll库,大致看了下,有获取进程快照的,有获取进程第一个堆的,有查找进程的,有查找模块的
看到这,对于我们上边推测的劫持是由APC注入导致的肯定又多加了一分概率,但也可能是游戏行为,因为也可能是利用查找进程进程和堆进行一些功能性的判断也说不定
然后我们继续分析他调了kernel32.dll库都干了什么,要实现什么
来到反汇编,代码顶部函数名sub_49F438
7
71396×1866 329 KB

查看交叉引用
8
81744×534 90.2 KB

往上翻,翻到sub_4BFC98这个函数
9
91560×3118 465 KB

这块主要功能就是查找进程然后打开,然后在往上翻,查看交叉引用,到了sub_4E6B00函数
10
101718×2986 653 KB

注意我标记的这几个地方,然后我们看流程图
分析到sub_4C0AEC这个函数,我们跟进
11
111550×3484 588 KB
12
121764×2236 366 KB

然后看到这,我们就明白了,上边的流程是干嘛的了,意思就是样本获取进程线程ID,然后去寻某个进程,如果找到了,就执行sub_4C0AEC这个函数,执行delme.bat,然后start什么什么,然后执行ExitProcess
13
131842×928 179 KB

我们把它引用的所有交叉流程分析了一遍流程都差不多,那就意味这,这三个交叉引用的函数,可能是查了三次不同的进程,具体查了什么我们可以动态去调出来
我们在分析导入函数,在kernel32.dll中发现了引起我们注意的函数WaitForMultipleObjectsEx以及WaitForSingleObject
我们定位到WaitForSingleObject所在函数,查看其交叉引用
15
151730×742 143 KB

我们随便跟进一个函数,比如说sub_4120C0这个函数,查看其交叉引用sub_41226C函数如下
14
141326×2840 343 KB

作用就是获取线程ID然后执行sub_4120C0等待线程挂起关闭,然后进入Sleep进行延时
查看交叉引用跟进函数sub_4CC2AC
19
19959×1032 91.3 KB

看到分析出来字符串Set-cookie设置cookie,推测似乎是和网络请求有关
然后继续在往上追到函数sub_4CBD88

17
173174×1518 351 KB

很明显是在构造http的请求头
WaitForSingleObject函数调用关系分析完了但是没啥关联性,我们继续看WaitForMultipleObjectsEx,跟进其所在的函数顶部sub_43AF88
18
183054×1410 418 KB

这里利用一个循环来处理传过来的消息,传过来什么消息,开头获取了sub_43AF88的句柄,我们看看
19
19959×1032 91.3 KB

这里调里FindWindowExA

FindWindowExA是Windows API的一个函数,该函数获得一个窗口的句柄,该窗口的类名和窗口名与给定的字符串相匹配。

我们先来看看FindWindowExA 定义,也就是说获取窗口句柄与给定定字符串比对,和谁进行比对,往下看sub_407BE0函数

20
20723×736 57.7 KB

这里传里一段数据进行tls的解密,并获取线程ID返回传给hWnd
在往上追到sub_43B06C函数

21
21816×892 61.7 KB

这里边用了一个泵式等待的函数CoWaitForMultipleHandles,具体用法如下
22
221032×1158 110 KB

在分析的时候琢磨好长时间用它干啥,让我想起样本如果很长时间没有人点击就会默认按照的条件运行,或者说我们调试器遇到MessageBox不去管他,程序跑过去一直步过超过等待时间就会自动加载,我推测sub_43AF88就应该起了这样一个作用,至于具体传了什么数据,我们得动态
交叉引用,继续往上追sub_43B17C
23
231870×1281 198 KB

没啥好分析的
sub_43B17C再往上就没有引用了,但是我们空格切换汇编代码
24
24880×319 82.6 KB

IDA把这段代码识别成文本了,但是我们通过偏移地址发现off_43AE44这段数据涉及函数是sub_49E71C,跟进其中call了一个sub_42B40C函数

25
25670×652 41.3 KB

这里我们看到调用了一个ResumeThread函数,这个函数的意义是恢复函数线程,看到这懂得都懂 /滑稽
我们继续查看交叉引用,往上追

26
261694×2602 454 KB

将字符串交给sub_4BCE68去解密,这里调了LoadLibaryA,去加载dll,
27
271504×1720 211 KB

函数sub_4BCE68执行过程
我们在前面分析到,样本运行会弹一个框,所以我们通过查看交叉引用sub_40FA28为有关MessageBox的最外层的函数,
29
291852×2398 405 KB

首先sub_40FA28会进入sub_40F8A0函数
30
301688×1468 196 KB

调用GetModuleFileName这个参数,去获取当前进程已加载模块的文件路径,进行读取数据,解密数据
31
311530×1416 162 KB

这是退出时sub_4050EC函数最后一个调用,关键就是判断sub_404FCC(); sub_405060();
最后执行sub_40C144函数退出进程,至于后边一堆函数调用就是判断数据以及上边的调用,有没有执行完,执行完调用ExitProcess结束
然后,进入一个JZ判断,结果不等于0,获取字符串,在桌面重新生成一个程序,然后返回
32
321654×2204 434 KB

如果等于0,然后弹窗显示,LoadStringA_0的作用根据运行结果推断是加载
33
331108×788 86.3 KB

这样的一个弹框,打完补丁之后,也会进行一系列的判断,会执行退出
34
341676×1716 254 KB

在分析过程中,发现sub_49234C这个函数也调用了MessageBoxA
35
351224×1954 260 KB

调用了关键函数sub_487054
36
361796×1780 348 KB

主要调用GetCurrentThreadId和EnumThreadWindows,目的就是获取线程ID并进行枚举
37
371842×3110 499 KB

动态分析

行为分析

样本运行之后会释放msg_xxxx.jpg文件,msg后边的命名是随机的

39
393252×360 377 KB

然后在C:\Users\jhon\AppData\Local\Temp释放rar_xxxx.exe文件,rar后边的命名也是随机的
38
383520×570 565 KB

rar_xxxx.exe程序进行映像劫持,但是在我的Windows10的机器上并未劫持成功
44
443322×320 88.4 KB

然后rar_xxxx.exe,释放并加载驱动程序到C:\Windows\System32\drivers目录下
42
423562×272 21.8 KB

然后样本执行两次销毁rar_xxxx.exe程序
43
432812×380 60.4 KB

msg_oetjdg.jpg的分析

file看一下是data类型

56
561664×244 53.1 KB

将它投入ida,看起来是加密的
57
573328×1520 714 KB

对释放对驱动程序分析

我们首先看一下子字符串能不能发现什么信息,提取了一些比较关键的信息

/?t=1
[ENDBASE64]
[BASE64]
<![CDATA[
<description>
<item>
/?a=1&t=1&s1=%u&s2=%d&s3=%d
\SystemRoot\System32\
/?t=2&c=
mo.cn
hk.cn
tw.cn
xj.cn
nx.cn
qh.cn
gs.cn
sn.cn
xz.cn
yn.cn
gz.cn
sc.cn
hi.cn
gx.cn
gd.cn
hn.cn
hb.cn
ha.cn
sd.cn
jx.cn
fj.cn
ah.cn
zj.cn
js.cn
hl.cn
jl.cn
ln.cn
nm.cn
sx.cn
he.cn
cq.cn
tj.cn
sh.cn
bj.cn
ac.cn
net.ru
com.ru
edu.cn
gov.cn
org.cn
cn.com
net.cn
com.cn

其中发现了,样本用的签名

151222010803Z
161222010803Z0l1
Henan1
Jiaozuo1#0!
feifan7892@gmail.com
Zhang Zhengqi0

拿到这么一些信息,真实与否不做验证
这里边对以上的关键信息进行分析,放入ida看了一下子,没啥头绪,对驱动程序分析少,后续研究驱动程序再来补充。

动态调试

动态调了几次,然后就跑飞了,并未发现样本主进程有释放文件的迹象,然后我们打开Process Hacker以及Process Monitor监控一下子

46
463486×656 437 KB

由于我们在rar_xxxx.exe释放之前停掉了Process Monitor抓取,所以导致rar_xxxx.exe没有抓去到,但好在火绒剑抓取到了,但是pid记录的不太一样
47
472872×1154 363 KB

这里边释放了两个程序,一个rar_gqmpjn.exe,一个是rar_uyditq.exe
我们知道这个了,我们再回到调试器,进行单步,在ZwCreateUserProcess处下断,经过以上推断以及调试基本确定是APC注入导致的劫持,然后我们单步看到主进程创建了一个7984的线程

我们在ResumeThread处下断,样本跑到此处pid为2802,然后我们再已管理员打开一个x32dbg进行进程附加

48
481650×490 92.4 KB

新的进程pid为7416
然后我们主进程的x32dbg单步
49
493510×1238 818 KB

然后我们通过Process Monitor发现样本在7416基础上又创建了个线程9128,草,真tm恶心啊
50
503624×602 425 KB

也就是说我们得断在创建9128线程之前,才能捕获到释放的文件
恢复快照之后,在跑到ResumeThread停下,对3064进行attach
52
523840×1948 1.25 MB

Writefile处下断,然后我们单步
54
542662×930 443 KB

我们在单步过程中发现,样本的数据基本都是远程获取,动态解密的,所以就很狗
53
532854×1032 441 KB

Writefile处停下,获取到释放的文件
Deletefile处下断,运行停下之后
55
553718×1450 772 KB

样本解密释放执行之后会进行自动删除,但是我们从这里看到从百度贴吧获取图片,然后到本地进行重命名,rar_xxxx.exe会从图片进行解密

恶意代码行为

rar_xxxx.exe从图片进行解密之后,会在释放驱动文件

C:\Windows\System32\drivers\puhsvgvhhu.sys

58
583760×356 191 KB

既然得到了释放的样本我们简单分析一下子,我们把样本单独放在虚拟机运行了一下子,发现Process Monitor并没有记录太多有用的东西,于是又重新跑了一边程序,Process Monitor没有记录加载驱动的过程,但是火绒剑记录到了

时间 名称 进程号 操作 路径 执行结果
16:53:55:800 rar_qlessd.exe 3364 EXEC_create C:\Users\mac\AppData\Local\Temp\rar_qlessd.exe parent_pid:7000 cmdline:‘C:\Users\mac\AppData\Local\Temp\rar_qlessd.exe msg_kucxcf.jpg’ image_base:0x00007FF60A790000 image_size:0x00034000
16:53:55:815 conhost.exe 3364 FILE_open C:\Users\mac\AppData\Local\Temp\rar_miirmz.exe access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000
16:53:55:831 conhost.exe 3364 FILE_open C:\Users\mac\AppData\Local\Temp\rar_miirmz.exe access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000
16:53:55:831 conhost.exe 3364 REG_openkey HKEY_CURRENT_USER\Console\C:_Users_mac_AppData_Local_Temp_rar_miirmz.exe access:0x02000000
16:53:55:831 conhost.exe 3364 REG_openkey HKEY_CURRENT_USER\Console\C:\Users\mac\AppData\Local\Temp\rar_miirmz.exe access:0x02000000
16:53:55:831 conhost.exe 3364 FILE_open C:\Users\mac\AppData\Local\Temp\rar_qlessd.exe access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000
16:53:55:831 conhost.exe 3364 FILE_open C:\Users\mac\AppData\Local\Temp\rar_qlessd.exe access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000
16:53:55:831 conhost.exe 3364 REG_openkey HKEY_CURRENT_USER\Console\C:_Users_mac_AppData_Local_Temp_rar_qlessd.exe access:0x02000000
16:53:55:831 conhost.exe 3364 REG_openkey HKEY_CURRENT_USER\Console\C:\Users\mac\AppData\Local\Temp\rar_qlessd.exe access:0x02000000
16:53:55:893 rar_miirmz.exe 3364 FILE_touch C:\Windows\System32\drivers\puhsvgvhhu.sys access:0x00100002 alloc_size:0 attrib:0x00000080 share_access:0x00000000 disposition:0x00000005 options:0x00000060
16:53:55:893 rar_miirmz.exe 3364 FILE_truncate C:\Windows\System32\drivers\puhsvgvhhu.sys eof:0x00000000
16:53:55:893 rar_miirmz.exe 3364 FILE_write C:\Windows\System32\drivers\puhsvgvhhu.sys offset:0x00000000 datalen:0x0007AF30
16:53:55:893 rar_miirmz.exe 3364 FILE_open C:\Windows\System32\drivers\puhsvgvhhu.sys access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000003 disposition:0x00000001 options:0x00000060
16:53:55:893 rar_miirmz.exe 3364 FILE_modified C:\Windows\System32\drivers\puhsvgvhhu.sys 0x00000000 [操作成功完成。 ]
16:53:55:893 rar_miirmz.exe 3364 BA_extract_pe C:\Windows\System32\drivers\puhsvgvhhu.sys 0x00000000 [操作成功完成。 ]

从上面记录我们注意到,rar_qlessd.exe执行了个命令

rar_qlessd.exe msg_kucxcf.jpg

然后我们把这两个文件,拖入到一个新的机器,在终端执行一下子

59
591714×1063 261 KB

可以看到直接就能释放驱动,说明这就是关键地方了,哈哈哈,草到这莫名的开心了一下子
接下来就是分析这两个东西了,我们刚刚分析msg_kucxcf.jpg里边是data,肯定是rar_qlessd.exemsg_kucxcf.jpg里边解密
我们先分析rar_qlessd.exe,投入ida之后发现都是乱七八糟的函数,没啥头绪,直接动态调
终端管理员方式打开,检测一下子,发现程序是x64的,然后启x64dbg,进行进程附加
60
602120×1153 628 KB

通过调试我们发现,样本会在NtResumeThread,生成驱动并注入
我们查看调用栈
61
611802×517 52.4 KB
62
621888×660 82.5 KB

发现调用的是ntdll.dll的函数,NtCreatefileZwCloseNtWritefile这些

IOCs

42.81.34.35

相关链接


1 个赞
#2

补充:在后续分析过程中,发现利用方式不像是应用下发服务器被入侵,导致软件包被捆绑恶意程序,样本最外层是一层upx的壳,想来是用来压缩的,里边是vmp的壳,因为最开始没有一股脑的去拖vmp,因为拖vmp还是很麻烦的,选择的直接调试,所以该样本还有一种可能就是私服开发者有意而为之

#3

这个程序会拦截tap-windows的安装。tap-windows是一个虚拟网卡驱动,游戏加速器用的

服务器资源由ZeptoVM赞助

Partners Wiki Discord