前言

網絡遊戲的輔助、助手類工具一直以來都受到一些遊戲玩家的喜愛。但由于這些軟件很多都存在擾亂遊戲公平、篡改遊戲數據等問題，損害到了遊戲運營方和遵守遊戲秩序玩家的利益，一直以來都是被遊戲廠商、運營商打擊的對象。也正是因為這是一個較為灰色的地帶，造成了這類工具都是由個人或小團隊開發和維護，可謂魚龍混雜。這裡面也就存在大量追求不法利益的開發者——利用遊戲輔助傳播病毒木馬和各類惡意程序，甚至還有趁機竊取遊戲賬号裝備的可謂比比皆是。而今天要提到的"CF活動助手"就是其中一個。

CF活動助手分析

CF活動助手是一款比較流行的遊戲輔助工具，其支持的功能很多，以下是其官網的介紹内容，包括"最新活動通知"，"一鍵領取活動禮品"，"戰績、消費、倉庫查詢"功能，并且"永久免費"，看起來确實是不錯的輔助，

圖1. 官網的助手功能介紹

通過官網的用戶實時統計可以看出：其每日的用戶IP數可達到70000 ，PV量已經達到了12萬，這也從一個側面說明了其确實深受用戶喜愛。

圖2. CF活動助手的用戶量

圖3. CF活動助手程序界面

CF活動助手為了保證能及時跟進遊戲運營方推出的活動，同時保證其"查詢功能"接口的有效性，會在啟動時通過雲端下拉配置方式獲取自身運行所需配置信息，其使用的雲端配置信息地址如圖4所示：

圖4. 程序内使用的雲控地址

圖5. 程序官網的加密雲控信息

通過解密其雲控配置後，可以發現除去程序相關的配置信息後，還包括對安全軟件的檢測，同時具有下載并執行遠端程序的功能。

圖6.安全軟件進程名配置字段

圖7. 遠端下載程序配置字段

其中下載文件名為"QMBroswer.exe"和"QMBrowser.exe"的文件，在前期分别下發過"QQ空間廣告刷手"病毒以及"Steam盜号器"。而中間的"server.exe"文件，則是一個下載者木馬。

1. 下載者木馬

該木馬啟動後，會主動向遠端地址發起下載請求，下載多個程序到本地執行。雖然在URL鍊接中，這些文件均已.txt結尾，但實際上大多均為可執行程序，其中也包含驅動程序（SYS）和動态鍊接庫程序（DLL）等，具體功能也可能由于服務器控制者的修改而損失變化。

圖8. 下載抓包

此外，該木馬同時還會将中毒機器的相關信息上報給服務端用以統計。

2. Steam盜号器

盜号器啟動後會結束正在運行的"Steam"客戶端，之後通過枚舉磁盤文件方式找到Steam客戶端安裝路徑

圖9. 結束Steam進程

圖10. 釋放盜号模塊

找到Steam客戶端安裝路徑後，會向路徑内釋放名為IPHLPAPI.dll的庫文件用作DLL劫持，這樣Steam客戶端在下次啟動時會加載該DLL文件。

圖11. 盜号模塊注入Steam進程

該DLL一旦被加載，便會通過hook方式挂鈎SteamUI.dll模塊的4處位置：分别為"UserNameEdit"、"密碼"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode"，如下：

圖12. 盜号模塊尋找hook點

圖13. 待攔截的控件名稱

如此一來，每當用戶通過輸入賬号密碼的方式登錄Steam的時候，劫持了客戶端的DLL同時也會竊取這份賬号和密碼。

3. "QQ空間廣告刷手"病毒

病毒運行後，會通過QQ本地認證接口取到SKey，之後帶Skey可跳轉全線QQ産品，病毒會選擇跳轉QQ空間和興趣部落，在非用戶自願的情況下，發布廣告。

圖14. 刷QQ空間說說

圖15. 刷"興趣部落"評論

實際發布内容如下圖所示：

圖16. 類似廣告内容

火爆的Steam盜号

自"絕地求生"在國内爆紅之後，針對Steam的盜号産業鍊發展得可謂異常迅猛，不隻這一款輔助，我們還發現了大量各種針對steam的盜号攻擊。

号碼如何被盜？

目前流行的盜号方式大體可分為三類：

1. 釣魚頁面，騙取賬号密碼

通過僞裝成相似度極高的"活動頁面"誘騙受害者輸入賬号密碼來領取所謂的"禮包"或"CDKEY"，而一旦輸入這些信息，信息便會被發送到盜号者的"箱子"中存儲起來，後續被打包轉賣或者洗劫。

圖17. 僞造的Steam釣魚頁面

2. 曲線救國，利用賬号找回功能盜取賬号

賬号找回功能是指在用戶一旦忘記原有密碼時，平台方通過其預先綁定的郵箱地址發送"憑證"，用戶以此即可重置其密碼。一般來說，此類功能的設計原則，是基于認為賬号所使用的注冊郵箱持有者是可信的——即，能查看注冊郵箱内容的人，可以被信任為就是賬号主人本人。但由于騰訊本地統一認證接口的存在，以上這一套信任邏輯就變得不再可靠。

圖18. Steam平台發送的密碼重置憑證

騰訊所提供的這套接口，本身是為了方便用戶登錄其全線産品所設計的一套機制。但由于沒有對調用者進行校驗，所以任何在用戶計算機中運行的程序都可以調用從而拿到SKey（認證Token），如果用戶使用了QQ郵箱綁定其Steam賬号，那攻擊者通過在Steam平台主動發起"密碼找回"，之後通過Skey在受害者的郵箱中取到"憑證"從而重置密碼，更進一步可以修改掉受害者的Steam綁定郵箱，使得受害者無法再找回其賬号。

常見的有以"XX變聲器"、"XX加速器"命名的"撸号器"，通過聊天工具、郵箱方式進行傳播。

圖19. 通過郵箱傳播的Steam撸号器

3. 對登錄器下手，直接獲取賬号密碼

前文所述的"CF活動助手"即為以"DLL劫持"方式注入Steam登錄程序，通過hook相應的控件處理邏輯從而偷取受害者登錄賬号及密碼，而這種方式非常隐蔽，受害者一時很難察覺，同時也存在盜号器以"遠線程"注入方式盜取受害者賬号密碼，其中比較常見的有：

1) DLL劫持，位于Steam安裝目錄下名稱IPHLPAPI.DLL

2) 進程注入，釋放模塊位于Steam安裝目錄名稱為cuic.DLL

被盜賬号會被如何處理？

受害者的賬号最終流向，不外乎是以下幾種：

1. 賬号内有高價值虛拟财産，會被轉移後賣掉。

2. 賬号安全預留信息可改且價值較高的，修改信息後轉手當做高價值黑号賣掉（幾元到幾百元不等）。

3. 賬号價值較高且盜号者自己對賬号内遊戲感興趣的，盜号者留作自用（開挂）。

4. 其餘價值較低賬号，打包出售。最後還是流到"上号器"号商手裡。

圖20. Steam黑号出租（上号器）

圖21. Steam黑号圈子

圖22. Steam黑号交易

如何避免号碼被盜？

1. 盡量避免使用第三方輔助軟件。

2. 無論是遊戲賬号還是郵箱賬号，盡可能啟用多重安全機制（如手機動态口令app等）。

3. 在非可信環境下（如網吧）避免使用自己的遊戲賬号。

4. 360安全衛士具備"遊戲賬号保護"功能，在開啟情況下可有效阻止遊戲号碼被黑客竊取。

圖23. 360安全衛士攔截威脅程序對Steam客戶端的注入操作

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!