解密中国网络游戏业的黑暗骑士:响尾马(下)
作者:趨勢科技資深威脅研究人員Lion Gu
本文延續解密中國網絡游戲業的黑暗騎士:響尾馬(上)
后臺服務器接受Trojan木馬竊得的數據。服務器是一個使用了活動服務器網頁(Active Server Pages,簡稱ASP)技術的網站。為了測試這個惡意軟件,我們設了一個使用了因特網信息服務(Internet Information Services,簡稱IIS)的網站。如圖所示,后臺服務器需要用戶名稱和密碼以便登入。
圖5、后臺服務器登入頁面
后臺服務器備有4個主要功能:
????? 檢查偷盜得的資料
????? 管理群組使用者
????? 管理一般使用者
????? 復審服務器訪客紀錄
圖6、后臺服務器4個主要功能
?
活動服務器網頁(Active Server Pages,簡稱ASP)是Microsoft微軟第一個為機動產生網頁而提供的伺服端程序代碼引擎。最初是透過NT 4.0選項套組做為因特網信息服務(Internet Information Services,簡稱IIS)的插件來發布,之后成為Windows 2000服務器的免費組件之一。
?
群組使用者多數指的是網站的持有者。可增加或移除用戶帳戶,無論是網頁的typeXpower或normalXon。
?
圖7、群組使用者的管理頁面
?
相較之下,一般使用者則可看到被偷盜的除了密碼外的數據。一般使用者通常會被給予Trojan木馬分送器。
圖8、一般使用者的管理頁面
?
Trojan木馬分送者利用破壞弱點漏洞的方式入侵合法網站,并將Trojan木馬的下載URL注射入被入侵的網站中。他們也可與數個提供免費下載音樂,電影和軟件的小網站管理者達成協議。這些網站的管理者會將Trojan木馬下載URL注射到所管理的網站中,誘使用者點擊惡意的URL。Trojan木馬分送者會支付款項給網站管理者。Trojan木馬分送者則按所偷得的賬戶數量獲得金額,因此他們需要定期登入到訪客紀錄頁面去查看最新的偷盜得的帳戶資料數量。
圖9、訪客紀錄頁面
?
這套Trojan木馬工具組背后的網絡犯罪集團制作了一個展示頁面,其中包括了利用該套工具取得的偷盜數據樣本,藉由XWM工具組的能力展示來說服客戶。
圖10、展示網頁中被竊得數據的樣本
?
多數被偷盜的數據皆在RMT實體貨幣交易平臺販賣,如5173.com和Taobao.com
圖11、在5173.com上販賣的被竊虛擬資產樣本
?
更多關于XWM的內容
無庸置疑地,制作出XWM工具組的網絡犯罪集團主要目的就是獲取利益。他們將工具組賣給其他的網絡犯罪份子,其證據就是在展開XWM工具組后出現的注冊窗口。使用者如果想要使用Trojan木馬產生器就需要購買并輸入注冊碼。
圖12、XWM工具組注冊窗口
?
XWM工具組的制作罪犯也在特定的網站中廣告該套工具組。在該則廣告中,一個Trojan木馬產生器可以人民幣2千3百元購得。每一式Trojan木馬執行文件價格則是在人民幣2百50元。購買Trojan木馬產生器或至少一個Trojan木馬的使用者,同時也可獲得6個月免費的防偵測服務,以及后臺服務器的寄存服務。不過使用者也可使用自己的后臺服務器寄存。
圖13、XWM工具組廣告
?
結論
本研究報告所介紹的,是一款熱門的在線游戲Trojan木馬工具組,名稱是XWM工具組。XWM工具組有兩個主要組件,一個是Trojan木馬產生器,另一則是后臺服務器。
?
XWM工具組極為容易設定。要制作一個Trojan木馬時,網絡犯罪份子只需要將后臺服務器的URL 輸入到Trojan木馬產生器的設定區內即可。被制作并分送到用戶系統的Trojan木馬便可開始偷盜數據,并按網絡犯罪份子所指定的URL傳送到后臺服務器中。
?
而所附的后臺服務器使用也非常容易,因其會將到手的數據妥為組織整理,讓偷盜虛擬資產的工作可迅速執行。
?
XWM工具組的目標是中國境內21個熱門在線游戲的數百萬名因特網使用者。龐大的游戲人口使此Trojan木馬工具組極有可能成為最受網絡犯罪份子喜愛的攻擊路徑。
?
因此提醒使用者們,特別是熱情的在線游戲玩家們,在響應無預期的下載要求時務必要特別小心。我們強烈建議不要下載看來可疑的檔案,也不要點擊不太可信的聯結。
?
使用者也可利用使用了Smart Protection NetworkTM主動式云端截毒技術的Trend Micro趨勢科技產品,該技術中的檔案信譽技術可偵測及預防利用XWM工具組所制作出的Trojan木馬的下載。Smart Protection Network主動式云端截毒技術的網絡信譽技術也會防阻使用者接觸任何相關的惡意URL。
?
總結
以上是生活随笔為你收集整理的解密中国网络游戏业的黑暗骑士:响尾马(下)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 对M/M/N排队论模型的matlab代码
- 下一篇: 经过几天的努力,出了 2 本保姆级编程电