https://cert.360.cn
ptlogin2.qq.com 时间:2021-03-23 阅读:()
1|咨询电话:010-52448119报告事件:cert@360.
cn《Steam新型盗号木马及产业链分析报告》安全报告:Steam新型盗号木马及产业链分析报告报告编号:B6-2018-041901报告来源:360CERT,360核心安全事业部报告作者:Poner更新日期:2018年4月19日https://cert.
360.
cn2|咨询电话:010-52448119报告事件:cert@360.
cn目录0x00前言.
30x01产业链分析.
40x02窃取QQkey.
8利用QQ快速登录窃取QQKey.
8暴力搜索内存提取QQkey,上传服务器或者邮箱.
10新型变种.
110x03IOC.
120x04防范建议.
130x05总结.
13https://cert.
360.
cn3|咨询电话:010-52448119报告事件:cert@360.
cn0x00前言《绝地求生:大逃杀》自Steam上线以来就一直占据销量榜榜首,可见该款游戏的热门程度.
用户纷纷加入"吃鸡大军",而《绝地求生:大逃杀》需要用户在Steam商城花费98元购买才能够开始"吃鸡".
黑产从业者也发现这里面"商机"并盯上了用户手里的Steam账号,他们试图通过盗取Steam账号数据并售卖,进而牟利.
"邮箱数据"贴吧而我们也发现这些黑产从业者正试图在贴吧、QQ群里售卖手里的非法Steam数据,其中的"邮箱数据"贴吧里发布了大量的非法Steam数据交易内容.
并且,我们360云安全系统监测近期也有曝光过一些不法分子借助变声器、外挂、加速器等进行盗号木马传播,该木马一旦运行,即可成功盗取得用户的QQ号和动态Skey.
腾讯为了方便用户,在登录的QQ电脑中,可以使用"快速登录"的方式,在使用此种登录方式的过程中,会产生一个密钥,是QQ登录的另一种身份证,盗号者可以通过这个key来识别用户的QQ,登录邮箱,QQ空间、看相册、日记,发布说说,微博,财付通,QB查询……https://cert.
360.
cn4|咨询电话:010-52448119报告事件:cert@360.
cn使用QQkey登录邮箱工具通过伪装steam外挂传播的不法分子通过快速登录QQ邮箱,将盗取与QQ邮箱有绑定关系的Steam账号以及相关财产.
0x01产业链分析我们尝试跟贴吧中一个"贩子"进行沟通,试图还原整个盗号产业链的情况.
聊天记录、盗号工具列表https://cert.
360.
cn5|咨询电话:010-52448119报告事件:cert@360.
cn沟通的过程"贩子"向我们展示了盗取Steam账号过程中需要的工具以及测试数据,从工具来看,我们发现他们用于窃取QQKey的收信方式主要有腾讯企业邮箱收信、ASP收信.
盗号木马生成器、QQKEY登录器邮件收信"贩子"还告诉了我们这些工具、源码在圈内的价位,整套盗号木马生成器的易语言源码一套售价1500,而对于一些不懂的加工易语言源码的工作室主要是通过购买价位在800左右的QQKey盗号木马生成器,就连用于登录QQKey的登录器也要400.
https://cert.
360.
cn6|咨询电话:010-52448119报告事件:cert@360.
cn我们以需要测试盗号木马是否能够免杀360向"贩子"要了一个测试木马,"贩子"称它的木马能够过360,然而文件刚下载下来就被QVM查杀了.
其实,该木马本身技术门槛并不高.
而整个盗号流程中至关重要的就是账号数据量,而在后续沟通的过程中,我们也"贩子"那了解到他们的手法主要为引流传播,并再次向我们展示了他们行业"撸号宝典".
https://cert.
360.
cn7|咨询电话:010-52448119报告事件:cert@360.
cn最终我们还原出关于这类黑色产业链的情况如下图:https://cert.
360.
cn8|咨询电话:010-52448119报告事件:cert@360.
cn0x02窃取QQkey我们根据近期捕获的样本中发现,此类盗号木马的窃取QQkey的攻击手法主要有两种.
利用QQ快速登录窃取QQKey通过访问http://localhost.
ptlogin2.
qq.
com:4300/[url]获取用户登录qq的key,将Set-Cookie中的clientKey发送到牧马人的服务器(464690486.
blkj.
tk)中.
牧马人的服务器通过qqkey.
php以Get的方式接收QQkey进程存储,传输的数据主要有:qq号码、QQ名称、QQkey.
https://cert.
360.
cn9|咨询电话:010-52448119报告事件:cert@360.
cn将qq号和qq登录的key发送到指定服务器还将信息发送到指定邮箱其中某木马分发者的收信网站流量:注:该图来自360网络安全研究院根据网站流量来看从2018年3月30日开始网站流量突然飙升,在上面我们也贴出了该站的访问日志.
https://cert.
360.
cn10|咨询电话:010-52448119报告事件:cert@360.
cn另外一个木马分发者的收信邮箱:由此可见收获不菲.
暴力搜索内存提取QQkey,上传服务器或者邮箱读取QQ.
exe内存发送QQKey到服务器https://cert.
360.
cn11|咨询电话:010-52448119报告事件:cert@360.
cn登录到一个盗号者的服务器上,可以看到半小时左右就有2000多个QQ账号和密码被盗取.
服务器上QQKey记录新型变种关于这个新型变种,我们发现他获取QQkey使用的方法并没有改变(这种方法目前在国内目前只有360可以查杀)https://cert.
360.
cn12|咨询电话:010-52448119报告事件:cert@360.
cn依旧还是通过QQ快速登录的接口获取的QQkey,如下图:不过我们发现他上传QQkey的方法发生了改变,由以前的通过邮箱收信、ASP收信变成了socket通信,如下图木马正在连接C&C服务器:我们通过技术手段获得了该变种的木马生成器,该生成器中包含:全自动进入QQ邮箱盗号、管理获取的QQkey、自动生成木马等等,可见功能非常齐全.
其中,我们得知该服务器在4月11日至4月12日之间流量飙升,由此可见该变种应该是在4月11日的时候放出的,事后我们对此变种进行了拦截,该C&C服务器的流量图如下:注:该图来自360网络安全研究院0x03IOC12e13e.
exe55AC18FB660F726EB801B8F03F9EBC37wrqdfq.
exe37575D21B8CD16ABA4C3E1B3013B1E31QQPass.
exe6CB90F793DB09FEF0077E599C6FF6F20https://cert.
360.
cn13|咨询电话:010-52448119报告事件:cert@360.
cn0x04防范建议1、立即下载安装"360安全卫士"对此类木马进行防范.
2、不要因为使用辅助软件而关闭安全软件的防护功能.
0x05总结360云安全大数据显示该类型木马数量一直在不断的增加,不单单是可能影响到用户的Steam账号安全,也影响了用户QQ其他业务的安全性,有可能促使用户遭受较大的经济损失等.
建议广大用户立即下载安装目前国内唯一能查杀此类样本的"360安全卫士"进行查杀.
cn《Steam新型盗号木马及产业链分析报告》安全报告:Steam新型盗号木马及产业链分析报告报告编号:B6-2018-041901报告来源:360CERT,360核心安全事业部报告作者:Poner更新日期:2018年4月19日https://cert.
360.
cn2|咨询电话:010-52448119报告事件:cert@360.
cn目录0x00前言.
30x01产业链分析.
40x02窃取QQkey.
8利用QQ快速登录窃取QQKey.
8暴力搜索内存提取QQkey,上传服务器或者邮箱.
10新型变种.
110x03IOC.
120x04防范建议.
130x05总结.
13https://cert.
360.
cn3|咨询电话:010-52448119报告事件:cert@360.
cn0x00前言《绝地求生:大逃杀》自Steam上线以来就一直占据销量榜榜首,可见该款游戏的热门程度.
用户纷纷加入"吃鸡大军",而《绝地求生:大逃杀》需要用户在Steam商城花费98元购买才能够开始"吃鸡".
黑产从业者也发现这里面"商机"并盯上了用户手里的Steam账号,他们试图通过盗取Steam账号数据并售卖,进而牟利.
"邮箱数据"贴吧而我们也发现这些黑产从业者正试图在贴吧、QQ群里售卖手里的非法Steam数据,其中的"邮箱数据"贴吧里发布了大量的非法Steam数据交易内容.
并且,我们360云安全系统监测近期也有曝光过一些不法分子借助变声器、外挂、加速器等进行盗号木马传播,该木马一旦运行,即可成功盗取得用户的QQ号和动态Skey.
腾讯为了方便用户,在登录的QQ电脑中,可以使用"快速登录"的方式,在使用此种登录方式的过程中,会产生一个密钥,是QQ登录的另一种身份证,盗号者可以通过这个key来识别用户的QQ,登录邮箱,QQ空间、看相册、日记,发布说说,微博,财付通,QB查询……https://cert.
360.
cn4|咨询电话:010-52448119报告事件:cert@360.
cn使用QQkey登录邮箱工具通过伪装steam外挂传播的不法分子通过快速登录QQ邮箱,将盗取与QQ邮箱有绑定关系的Steam账号以及相关财产.
0x01产业链分析我们尝试跟贴吧中一个"贩子"进行沟通,试图还原整个盗号产业链的情况.
聊天记录、盗号工具列表https://cert.
360.
cn5|咨询电话:010-52448119报告事件:cert@360.
cn沟通的过程"贩子"向我们展示了盗取Steam账号过程中需要的工具以及测试数据,从工具来看,我们发现他们用于窃取QQKey的收信方式主要有腾讯企业邮箱收信、ASP收信.
盗号木马生成器、QQKEY登录器邮件收信"贩子"还告诉了我们这些工具、源码在圈内的价位,整套盗号木马生成器的易语言源码一套售价1500,而对于一些不懂的加工易语言源码的工作室主要是通过购买价位在800左右的QQKey盗号木马生成器,就连用于登录QQKey的登录器也要400.
https://cert.
360.
cn6|咨询电话:010-52448119报告事件:cert@360.
cn我们以需要测试盗号木马是否能够免杀360向"贩子"要了一个测试木马,"贩子"称它的木马能够过360,然而文件刚下载下来就被QVM查杀了.
其实,该木马本身技术门槛并不高.
而整个盗号流程中至关重要的就是账号数据量,而在后续沟通的过程中,我们也"贩子"那了解到他们的手法主要为引流传播,并再次向我们展示了他们行业"撸号宝典".
https://cert.
360.
cn7|咨询电话:010-52448119报告事件:cert@360.
cn最终我们还原出关于这类黑色产业链的情况如下图:https://cert.
360.
cn8|咨询电话:010-52448119报告事件:cert@360.
cn0x02窃取QQkey我们根据近期捕获的样本中发现,此类盗号木马的窃取QQkey的攻击手法主要有两种.
利用QQ快速登录窃取QQKey通过访问http://localhost.
ptlogin2.
qq.
com:4300/[url]获取用户登录qq的key,将Set-Cookie中的clientKey发送到牧马人的服务器(464690486.
blkj.
tk)中.
牧马人的服务器通过qqkey.
php以Get的方式接收QQkey进程存储,传输的数据主要有:qq号码、QQ名称、QQkey.
https://cert.
360.
cn9|咨询电话:010-52448119报告事件:cert@360.
cn将qq号和qq登录的key发送到指定服务器还将信息发送到指定邮箱其中某木马分发者的收信网站流量:注:该图来自360网络安全研究院根据网站流量来看从2018年3月30日开始网站流量突然飙升,在上面我们也贴出了该站的访问日志.
https://cert.
360.
cn10|咨询电话:010-52448119报告事件:cert@360.
cn另外一个木马分发者的收信邮箱:由此可见收获不菲.
暴力搜索内存提取QQkey,上传服务器或者邮箱读取QQ.
exe内存发送QQKey到服务器https://cert.
360.
cn11|咨询电话:010-52448119报告事件:cert@360.
cn登录到一个盗号者的服务器上,可以看到半小时左右就有2000多个QQ账号和密码被盗取.
服务器上QQKey记录新型变种关于这个新型变种,我们发现他获取QQkey使用的方法并没有改变(这种方法目前在国内目前只有360可以查杀)https://cert.
360.
cn12|咨询电话:010-52448119报告事件:cert@360.
cn依旧还是通过QQ快速登录的接口获取的QQkey,如下图:不过我们发现他上传QQkey的方法发生了改变,由以前的通过邮箱收信、ASP收信变成了socket通信,如下图木马正在连接C&C服务器:我们通过技术手段获得了该变种的木马生成器,该生成器中包含:全自动进入QQ邮箱盗号、管理获取的QQkey、自动生成木马等等,可见功能非常齐全.
其中,我们得知该服务器在4月11日至4月12日之间流量飙升,由此可见该变种应该是在4月11日的时候放出的,事后我们对此变种进行了拦截,该C&C服务器的流量图如下:注:该图来自360网络安全研究院0x03IOC12e13e.
exe55AC18FB660F726EB801B8F03F9EBC37wrqdfq.
exe37575D21B8CD16ABA4C3E1B3013B1E31QQPass.
exe6CB90F793DB09FEF0077E599C6FF6F20https://cert.
360.
cn13|咨询电话:010-52448119报告事件:cert@360.
cn0x04防范建议1、立即下载安装"360安全卫士"对此类木马进行防范.
2、不要因为使用辅助软件而关闭安全软件的防护功能.
0x05总结360云安全大数据显示该类型木马数量一直在不断的增加,不单单是可能影响到用户的Steam账号安全,也影响了用户QQ其他业务的安全性,有可能促使用户遭受较大的经济损失等.
建议广大用户立即下载安装目前国内唯一能查杀此类样本的"360安全卫士"进行查杀.
- https://cert.360.cn相关文档
- 腾讯QQ空间出现ptlogin2.qq.com的解决方法
- ptlogin2.qq.com为什么我的空间打不开还显示ptlogin2.qq.com
- ptlogin2.qq.com打开QQ空间出现ptlogin2.qq.com而且所有有关QQ的网页都不好使
- ptlogin2.qq.com空间打不开,出现ptlogin2.qq.com/是怎么回事?
- ptlogin2.qq.com无法登陆QQ空间,提示无法连接到 ptlogin2.qq.com
- ptlogin2.qq.com请问我登录QQ空间的时候老是出现:ptlogin2.qq.com 是什么回事?而且打开空间和QQ游戏的玫瑰园都不正常。打开其它网站又都正常,网速也不错,就是打不开QQ空间。请问这是为什么?
wordpress通用企业主题 wordpress高级企业自适应主题
wordpress高级企业自适应主题,通用型企业展示平台 + 流行宽屏设计,自适应PC+移动端屏幕设备,完美企业站功能体验+高效的自定义设置平台。一套完美自适应多终端移动屏幕设备的WordPress高级企业自适应主题, 主题设置模块包括:基本设置、首页设置、社会化网络设置、底部设置、SEO设置; 可以自定义设置网站通用功能模块、相关栏目、在线客服及更多网站功能。点击进入:wordpress高级企业...
CloudCone2核KVM美国洛杉矶MC机房机房2.89美元/月,美国洛杉矶MC机房KVM虚拟架构2核1.5G内存1Gbps带宽,国外便宜美国VPS七月特价优惠
近日CloudCone发布了七月的特价便宜优惠VPS云服务器产品,KVM虚拟架构,性价比最高的为2核心1.5G内存1Gbps带宽5TB月流量,2.89美元/月,稳定性还是非常不错的,有需要国外便宜VPS云服务器的朋友可以关注一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器提供商,国外实力大厂,自己开...
美国高防云服务器 1核 1G 10M 38元/月 百纵科技
百纵科技:美国云服务器活动重磅来袭,洛杉矶C3机房 带金盾高防,会员后台可自助管理防火墙,添加黑白名单 CC策略开启低中高.CPU全系列E52680v3 DDR4内存 三星固态盘列阵。另有高防清洗!百纵科技官网:https://www.baizon.cn/联系QQ:3005827206美国洛杉矶 CN2 云服务器CPU内存带宽数据盘防御价格活动活动地址1核1G10M10G10G38/月续费同价点击...
ptlogin2.qq.com为你推荐
-
网罗设计谁知道怎么做网络设计啊?就是设计名片啊?设计什么的?我想自己亲自做,急!!!www.kkk.comwww.kkk103.com网站产品质量有保证吗杰景新特美国杰尼.巴尼特的资料月神谭给点人妖。变身类得小说。同ip网站12306怎么那么多同IP网站啊?这么重要的一个网站我感觉应该是超强配置的独立服务器才对啊,求高人指点抓站工具公司网站要备份,谁知道好用的网站抓取工具,能够抓取bbs论坛的。推荐一下,先谢过了!www.toutoulu.comSEO行业外链怎么做?5566.com5566网址大全www.175qq.com请帮我设计个网名www.dm8.cc有谁知道海贼王最新漫画网址是多少??