借鸡生蛋:DNF恶意外挂登陆器分析

前言

有江湖的地方就有纷争,同样有游戏的地方也就有外挂。对于DNF(地下城与勇士)这款在国内运营了接近10年的老牌端游,大家一定不会感到陌生。由于运营时间长,受众广,DNF相关的外挂私服也比比皆是。为了能够在众多的外挂私服中,获得广大的用户群,从而获得利益,有些恶意软件作者,就将目标瞄准到外挂私服上,下面就来详细介绍这类“借鸡生蛋”的恶意软件。

1、恶意软件信息

该恶意软件通过二次打包其他第三方外挂登录器,并携带自身恶意模块,生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候,会释放并启动一个名为“Reality.log”的程序,其实这个文件才是真正的外挂登陆器,同时也会释放运行恶意模块,运行效果如下图所示。通过这种借鸡生蛋的方式,恶意软件作者不需要自己去开发维护外挂登陆器,直接借用第三方程序的用户来发展自己的肉鸡获取利益。

该类恶意程序最早出现在2015年10月,至今共发现其相关的恶意打包程序约160个,期间该类恶意程序一直持续更新,均伪装成DNF外挂登陆器,包括但不限于将夜DNF辅助,火云辅助,创界辅助,风华辅助,天堂辅助,契约辅助,盘龙登陆器,咸鱼DOF登录器,魔剑DNF登录器,小狐狸登录器,小三DNF登陆器,娱乐DNF登录器,昊天登陆器等。其主要功能演变如下图所示。

2、背景信息

该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。

通过技术手段恶意锁定用户的浏览器主页为自己的导航推广,当“肉鸡”积累到一定程度的时候,每天都会产生比较可观的利益。同时通过篡改hosts文件,劫持竞争对手的私服网址,引流到自己的网站,将竞争对手的用户转化为自己的用户。

在外挂私服这种不受法律的黑色灰色产业中,DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击,使竞争对手的服务器不能正常工作。对于游戏提供商来说,这几乎是致命的,一旦服务器遭受攻击宕机,很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”,通过恶意攻击私服服务器,敲诈私服从业者提供高额的“保护费”。

3、基本流程

下面以这款名为“盘龙登陆器”为例,分析该恶意软件的基本流程,如下图所示。

该私服登陆器运行之后,在释放运行真正的登陆器Reality.log的同时,会释放Intel类模块和Winnet类模块,Intel类模块主要负责主页锁定,反调试检测以及下载DDOS模块,Winnet类模块主要负责LSP代理劫持,用于劫持Reality.log以及Reality.log的子进程的网络。

4、详细分析

该类恶意外挂登陆器主要分为三个恶意模块,分别是Intel类主页锁定模块,Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。

4.1Intel类主页锁定模块

Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分,其中驱动部分功能的正常运行需要应用层初始化数据来进行配合,如果单独运行驱动,将直接导致蓝屏,这也在一定程度上增加了分析的难度,值得一说的是,该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型,而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。

4.1.1 浏览器主页锁定

主页的锁定是需要应用层和驱动层共同协作,这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数,得知如果启动的进程是浏览器进程,则会结束该进程,同时将浏览器启动的信息通过写文件的方式通知应用层,应用层获得浏览器的启动信息后,将需要锁定的主页以参数的方式跟在浏览器路径后面,然后打开该浏览器进程,正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。

4.1.2 Downloader功能

应用层运行之后会开启一个线程,从网络上下载并运行Packxx类的DDOS模块。

4.1.3反调试保护模块

该恶意软件的反调试保护功能主要是在驱动层实现,主要包括以下几个方面。

A)通过MiniFilter保护自身相关模块,禁止其他程序访问。

B) 通过MiniFilter检测调试工具,包括OllyDbg,Pchunter,360tcpview,netstat等调试工具,一旦驱动成功运行,这些工具都不能获得正常的运行。

C)通过注册表回调例程保护相关注册表项,禁止其他程序访问。

D)通过对象注册回调函数保护自身进程不被结束。

4.2 Packxx类DDOS模块

Intel.exe从域名www.dresou.net上下载的3个恶意模块,分别是Pack11.exe,Pack22.exe以及Pack33.exe,其中Pack11.exe和Pack22.exe均为DDOS模块,除了控制主机的域名不一样,其他功能一致,Pack33.exe为Hosts文件劫持模块,其具体功能如下。

4.2.1 伪造系统进程

伪造自身为svchost或则 dwm等服务进程,同时释放恶意模块伪装成spoolsv,wdm进程,确保DDOS模块能够获得执行。

4.2.2 通过云端控制DDOS操作

连接远程控制主机(dd.dresou.net,CC.345DNF.COM),获取DDOS控制命令,执行相关的DDOS操作。

4.2.3劫持hosts文件

篡改hosts文件,劫持其他DNS私服的域名,使其访问自身的恶意网址。

4.3 Winnet类的LSP代理模块

Winnet类代理模块主要包括Winnet.exe,Winnet.dll以及LSP.dll三部分,其中Winnet.exe是代理服务器的主进程,主要负责中转网络数据,Winnet.dll主要是负责安装LSP服务以及初始化进程间通行的共享内存,常驻在Winnet.exe进程中,LSP.dll是网络劫持模块,被目标进程加载,劫持网络到Winnet.exe进程中。下面详细介绍

4.3.1 安装LSP服务

恶意程序将需要劫持的进程的Pid通过命令行的方式传递给Winnet.exe,Winnet.exe加载Winnet.dll,并调用其InitInstallLsp函数进行LSP服务的安装。

4.3.2 启动端口监听

随机监听本地的一个端口,并创建一块进程间共享内存,将监听端口存放在其中。

4.3.3 存放代理服务器信息

解析代理服务器信息,并将信息以及需要劫持的进程信息存放到共享内存中。

4.3.4 处理劫持的网络数据

从本地监听端口获得满足条件的网络连接,为每个连接开启一个线程处理劫持的网络数据。

4.3.5 劫持目标网络数据

LSP.dll根据共享内存中的信息,判断宿主进程是否为目标进程或则目标进程的子进程,如果是就进行网络劫持,将网络连接重定向到Winnet.exe。

5、结束语

有需求就有市场,游戏外挂和私服登陆器自有其存在的道理,我们在追求游戏快乐的同时,如需使用这类软件,请随时保持警惕。使用各大安全厂商的安全软件进行扫描检测,降低中招的可能性,如果在使用过程中,发现异常行为,请及时联系安全厂商,请求协助查杀,减少损失。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

记录一次利用业务设计漏洞的精彩实战测试

上次的那篇文章《一名代码审计新手的实战经历与感悟》得到了不少读者的支持,也得到了FreeBuf这个平台的肯定,这给了我这个菜的不能再菜的小菜鸟很大的信心。但是,...

10630
来自专栏数据和云

【Windows最近肿么了】32TB的Win10源码遭泄露?

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 TheRegister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心...

38380
来自专栏全华班

分享一套OA协同办公系统

OA协同办公系统是高效工作流平台基础上,开发带有控制功能的OA办公系统、标准版功能模块:1、个人事务;2、工作流;3、行政;4、信息管理;5、人力资源;6、公文...

2.1K10
来自专栏逸鹏说道

新型漏洞:利用浏览器Cookie绕过HTTPS并窃取私人信息

近期,一个存在于主要浏览器的Web cookie中的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受中间人攻击。此外,大部分Web网站和流行的开源应用程...

44290
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

14030
来自专栏架构师小秘圈

日订单50万级分布式事务

作者:伈情,喜玩Java、Python、Golang!热爱架构设计、SOA、微服务、高并发、分布式、性能优化、DevOps、大数据、消息队列等....!在互联网...

94780
来自专栏FreeBuf

工具解析 | 杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。 该工具...

23920
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

56260
来自专栏FreeBuf

逆向工程分析:摩托罗拉安全摄像头究竟有多不安全?

写在前面 这年头,谁家不得防贼防盗防小三?云安全摄像头也就变得越来越盛行了。可虽然叫“安全”摄像头,它们本身的安全性或许并不怎么样。这款摩托罗拉Focus 73...

298100
来自专栏逍遥剑客的游戏开发

UE4中集成Wiimote

304110

扫码关注云+社区

领取腾讯云代金券