盗号病毒的简单分析并拿到后台

2019-4-6 11:24| 发布者: 不离不弃| 查看: 2567| 评论: 1|原作者: 不离不弃

摘要: 本帖最后由 xuing 于 2019-3-16 12:47 编辑不知道从何时起，qq群邮件就成为了钓鱼软件传播的一个绝佳场所，什么”萌妹变声器”，“破解UU加速器”。我偶尔闲的无聊的时候，就会下载下来耗费几分钟逆(ti)向 ...

本帖最后由 xuing 于 2019-3-16 12:47 编辑

不知道从何时起，qq群邮件就成为了钓鱼软件传播的一个绝佳场所，什么”萌妹变声器”，“破解UU加速器”。
我偶尔闲的无聊的时候，就会下载下来耗费几分钟逆(ti)向(chuan)一下.发现钓鱼软件总是要把自己服务器的账号密码写到软件里面。

现在我们来一起捋一捋这个事情。
首先，这些钓鱼软件会通过控件覆盖的方式盗取Steam账号密码，并且为了过Steam的安全验证需要将ssfn开头的授权文件上传到病毒作者服务器。

这个文件

控件覆盖

可以看到，这里的两个输入框和登录按钮都不是Steam自身的。并且是浮在空中的。

然后通过腾讯快速登录的“漏洞”，即通过本地的“localhost.ptlogin2.qq.com”，拿到cookies和token相关的登录信息，借此可以群发邮件，强行加好友，加群，发表说说等。这块有很多人都聊过了，原理也不算难。网上资料很多，我就不在此赘述了。

下图，画圈的部分，就是批量发送群邮件相关的字符串。

字符串提取
其中，http://www.laohe788.com/zhuti.txt为邮件标题。
http://www.laohe788.com/zhengwen.txt为邮件内容

这么多钓鱼软件，我简单分析了一下，稍微见证了下作者的成长。

1月9号左右，作者传输盗号信息（俗称收信）是通过直接使用远程访问mysql服务器，执行sql语句(insert into xxx)来实现的。
其中mysql的账号密码，并没有在软件中明文存储，做了混淆，直接IDA提串是看不到的。
下图是用火绒剑抓到的登录数据包。

火绒剑截图
上图中的a1214170409，分别是mysql账号和数据库名。
根据Mysql的登录协议，密码不会直接明文传输的。所以通过火绒剑、Wireshark这类软件虽然可以抓到登录数据包，但是并不能直接看到数据库密码。
所以这里需要使用OD调试，拿到的账号密码如下：

OD调用栈

服务器地址 host1.webhostidc.net
当时指向的ip为：103.234.97.196
账号以及数据库名均为：a1214170409。
密码为：7a7ef802

当时的部分截图如下：

我帮他把数据库了清空一下，就没管了。接下来，1月16号开始，作者就更换为PHP收信了。我以为他学聪明了...不会把自己的账号密码再放到程序里了，结果他为了传输Steam的ssfn授权文件，把自己的ftp账号密码写在了程序里面...

这时他的信息如下：

服务器地址：host1.webhostidc.net
收信网址：www.sk404.com/muma/jianpanjilu.php
账号：yy4961627321
密码:C7A1E537B84be3

这个时候数据库内容没截图。现在已经登不上了。

所以直接看近期的吧，2月17号的（这个也已经连不上了）

ftp服务器地址：host1.webhostidc.net
收信网址：http://www.laopohehe.top/muma/jianpanjilu.php
密码：U2z3H7X6
账号：laopoheheda

还有很多，不一一列举了，反正就是一个作者或一批人，并且死脑筋...偶尔加个Super-EC，或者加个壳。反正就是要把账号密码写到程序里。mdzz。我们看最新的(2月27号)。

FTP服务器：host1.webhostidc.net
账号：laopoheheda
密码：D3271E5EFD05d6

FTP登录进去，发现这zz的ftp服务器、mysql服务器和http服务器都是一台，ftp就可以看到http服务器的所有php文件了，查看config.php，可以看到mysql的账号密码

config.php最新的另一个。

服务器：103.214.169.225
账号：laopohehe
密码：U2z3H7X6

这个的数据库账号密码是相同的。话说看这些命名。可以确定是一伙人在作案。希望这些信息的曝光，可以增加他们的一些犯罪成本。

接下来是钓鱼软件内无账号密码的

这种钓鱼软件内无账号密码的，我就看到一个...
以www.lanzouyundown.com里面下载的“Apex英雄Origin解除限速”为例。提取字符串，没有发现账号密码相关的字符串，因为内部使用了Super-EC模块，怀疑是中途解密的，使用OllyDbg进行调试并辅以Wireshark进行抓包。

抓包图

可以看到，这个http请求中，shuju1代表snfn名称。(然后name和pass，我初步猜测是用于区分是手下哪个小弟盗的，因为可以通过这个直接在网页中获取数据)

shuju4是什么呢？既然没有看到有ftp相关的流量，调试中也没有发现。会不会这就是ssfn文件的16进制表示呢。使用010editor打开本地的snfn文件，

010editor

可以发现和流量包中shuju4字段的内容是一致的。即作者终于不使用ftp来传输文件了。
那就需要别的思路了。把主站(www.sk408.com)拿AWVS和御剑什么的简单扫了一下，发现是DedeCMS的系统，版本是V57_SP2。找了一下相关漏洞，但是member功能关闭了，没有利用成功。后台简单扫了一下没扫出来，爆破后台的漏洞似乎也修复了。(最后通过他自己的描述找到了后台地址：www.sk408.com/suyi_ht/)

作者用于记录数据的php文件为www.sk408.com/muma/jianpanjilu.php
然后，根据之前我们ftp中得到的php文件，我们可以做一下简单的代码审计。

jianpanjilu.php源代码

sql语句是拼装的，也没做任何的检查或过滤。直接上sqlmap，一把梭。

sqlmap -u "http://www.sk408.com/muma/jianpanjilu.php" --data "name=123&pass=123&username=qwe&password=qwe&ip=2.2.2.2&shuju1=123&shuju2=qwe&shuju3=qwe" --tamper=space2comment --random-agent --level 3 --dbs

数据库信息

服务器信息
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, PHP 5.2.17

数据库账号是shikong，但是不是DBA权限。所以没办法读取密码。不过数据库是可以dump下来的，也可以搞些破坏，大家可以自己玩。
如果找到了其他漏洞，欢迎交流。

相关样本下载地址；
www.lanzouyundown.com
www.Laohe788.com
www.ob718.com
www.45a6.cn
www.ob408.com
www.lanzouwangpan.com

转自52破解论坛。