浅析：某授权绕过Steam令牌的背后究竟是何居心手机搜狐网「浅析：某授权绕过Steam令牌的背后究竟是何居心」

文件名称：最新94一键授权登陆软件.exe

SHA256：SH3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802

运行环境：运行环win7

文件名称：xxxxx.tmp---->TemporaryFile .exe

SHA256：SH1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87

运行环境：win7

使用工具：WinHex IDA OD PEID

还是同一个关于盗号的主题，但是这一次是关于某授权通过ssfn文件绕过steam令牌的背后到底它做了什么！（ps:写帖子的时候电脑蓝屏导致可能有错误，如果大佬发现麻烦指出来。）

0X00 前言

浅析目前市面上搭配黑号最常用的94授权 ，最早我拿到样本的时候，其实我是觉得没问题的，但是今天拿到样本后，它的一个报错 ，让我发现了问题，也就是图片上的那个报错，我本打算放弃，觉得这个应该没什么可疑的，但是此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在。

这里就有很大的问题！

PEID查壳：

程序载入OD后你会发现并不是易语言的常见OEPpush ebp。

0x01

使用CreateProcessA创建一个新进程。

使用CreateProcessA创建一个新进程。

暂时先不管这个tmp到底是干嘛的 继续往下走。

调用exitpocess后结束了进程。

但是进程栏却多了一个进程。

那么首先就是把注意力放在tmp文件上。

使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本。

他们的大小还是有区别的。

0x02

通过分析修改后缀后的exe文件并没有什么可疑的行为。

那么也许问题还是出在原来的程序上。

至此大胆判断，目标程序执行流程应该是：

为了找到它的病毒tmp花了不少时间终于摸透了。

需要把这个选项给关掉才可以看到他隐藏的文件或者通过，

Attrib cmd命令行查看也可以。

0x03

通过winhex查看文件 发现是一个可执行文件 并且UPX加壳。

UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe。

如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了。

0x04 敏感行为

获取键盘记录。

查询IE缓存与修改。

取QQcookie。

老生常谈了。

键盘记录。

获取浏览器缓存。

创建一个新线程。

获取注册文件。（简单说一下这是干嘛的，用来存放用于系统COM＋或者其他组件注册的相关文件。）

写俩文件：

这个error也就是开头的报错。

获取steam进程。

窃取用户cookie文件。

窃取Internet Explorer的缓存文件。

..R.o.a.m.i.n.g..M.i.c.r.o.s.o.f.t..W.i.n.d.o.w.s..C.o.o.k.i.e.s..6.8.0.M.2.Q.F.R...t.x.t.......LMEM....p.0.86-.....C)..C.:UsersAdministratorAppDataRoamingMicrosoftWindowsCookiesID6U09P5txt.......LMEM......0..6-.....l)..C.:..U.s.e.r.s..A.d.m.i.n.i.s.t.r.a.t.o.r..A.p.p.D.a.t.a..R.o.a.m.i.n.g..M.i.c.r.o.s.o.f.t..W.i.n.

拼接一下就是：

C:UsersAdministratorAppDataRoamingMicrosoftWindowsCookiesID6U09P5.txt

其他获取QQcookie（通过快速登陆漏洞）等.....

TCP链接：

这应该是个远控功能，获取steam ssfn文件。

94授权作者服务器：14.18.240.77

盗号器作者服务器：43.248.186.95

至此，此授权的基本大致行为就分析完了。

下面是我画的流程图：

0x05 CatGames帖子必备的免杀测试

测试杀软：腾讯电脑管家，360安全卫士，火绒安全。

1. 腾讯电脑管家

指定扫描结果：

运行是否拦截（免杀.exe未拦截）：

2.360安全卫士

指定位置扫描：

运行是否拦截：

样本.exe运行未拦截

3.火绒安全

指定扫描：

这有点看傻我。

运行是否拦截：

释放的时候还是会拦截。

后 记（来自Bilibili）

随着QQ本身安全性的不断提升以及成熟的风控，盗号者现在已经很难做到对QQ号本身进行盗取了，但是衍生出来的其他关联产业的盗号，却是一直生生不息，绝地求生的火热，无疑再次带动了传统的盗号行业。

当大家都在谈论新技术、新游戏的时候，黑市上的人也在一边喝酒，一边为这些新兴起的事物，唱着赞歌，享受着它们带来的福利，或许绝地求生和腾讯的合作，会抑制盗号的猖獗一段时间，但谁又知道下一次会是哪个游戏呢？

CatGames的小窝：CatGanes.cn发帖的方式我希望大家都有一个独立的发帖方式，很多大佬都是很正常正规的发帖方法，而且就是喜欢不一样，毕竟世界这么大，一样多没意思~

感谢喵内ZZ的表情包（其实都是我偷来的）。

GLHF!

- End -

看雪ID：CatGames

https://bbs.pediy.com/user-809626.htm

本文由看雪论坛 CatGames原创

转载请注明来自看雪社区