-
-
[原创]一个QQ钓鱼木马事件的追踪
-
发表于: 2015-5-14 10:08
-
0x01:
今天早上刚到公司,一个朋友就发给我一个文件,一看文件的名字是 拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,让她赶快修改密码,她改完之后,这件事情本来应该结束的,因为我的好奇心,还有发现这个木马是免杀的,所以就去分析了下这个木马,然后就有了后来的事情。
0x02:
样本图标:
是不是感觉很诡异,压缩后的文件竟然比压缩前的文件还要大5000K,我用Winhex打开,发现里面有这个完整的PE,才看了下原来压缩比例是100%,根本就没进行压缩算法,而且在压缩包的文件末尾还加了好多没用的数据,看来这作者是在构建畸形压缩包,起到QQ传输木马不被发现里面包含PE的作用。
0x03:
用户通过打开压缩包,双击运行压缩包里的木马后,木马会运行起来,然后从自身资源释放一张图片到电脑上,通过系统调用打开图片,起到迷糊用户的目的,用户以为打开的是图片,如图:
但是他们不知道其实木马还没结束,它会把自身复制到临时目录下,然后通过WinExec这个API,传递第二个参数是SW_HIDE把自身重新运行起来,如图:
再次运行起来的木马,因为是隐藏运行的,所以会走下面的木马流程,如图:
注册一个窗口:
动态创建控件,伪装QQ重新登录的界面,如图:
设置控件的风格,如图:
构造的界面如图所示,感觉挺真的,不认真看真看不来:
解密字符串,解密出腾讯的窗口类型,如图:
设置定时器,监控QQ窗口是否被激活,如图:
在,通过NtSuspendProcess把QQ进程挂起,弹出钓鱼的界面,如图:
定时器函数里的作用就是,每过固定间隔,检测一下窗口类为TXGuiFoundation的窗口是否存在,如果存在的话,就弹出钓鱼的窗口,如图:
用户点登陆后,会弹出2次,如果2次密码输入的一样,就会把密码发送到远程服务器,如图:
这是发送到远程服务器的地址,如图:
0x04:
通过对这个地址的挖掘,发现这地址:59aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5I4z5g2)9J5k6e0p5$3x3#2)9J5k6e0p5%4x3W2)9J5k6e0p5H3i4K6u0r3M7$3!0U0K9$3g2@1i4K6u0r3M7%4c8W2i4K6u0W2M7r3S2H3
是一个企业的网站,如图:
只有一个解释就是,这个网站被入侵了,木马作者把转发脚本放到网站上,靠转发脚本把窃取到的账号和密码发到他真正的服务器,木马作者之所以这么干,可能是因为360会拦截发往黑域名或者黑IP的数据,作者是靠企业网站做中转,这样木马向这个中转网站发数据,360不会拦截,因为这些企业网站是可信域名。
于是就试图找下这个站的漏洞,原来这个站是用的老版本的thinkphp,存在漏洞,漏洞地址为:
8b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2^5P5q4)9J5k6i4S2^5P5q4)9J5k6i4S2^5P5q4)9J5k6e0p5H3i4K6u0r3L8%4g2@1j5X3!0#2L8X3c8Q4x3V1k6A6L8X3c8W2P5q4)9J5k6i4m8Z5M7q4)9J5c8Y4S2^5P5q4)9J5c8Y4S2^5P5q4)9J5c8Y4S2^5P5q4)9J5c8W2)9J5y4e0N6n7i4K6t1@1i4K6t1#2y4@1u0Q4y4o6m8W2N6X3q4D9i4K6t1^5M7r3S2H3K9h3&6X3L8#2)9J5z5q4)9J5z5g2)9J5z5g2)9J5y4e0N6p5i4K6t1#2y4@1b7`.
截图:
于是挂上菜刀,发现/var/www/html/socket/目录下的确实存在一个转发脚本,
是4月30号刚上传上去的,可以看出来这人是通过比较老的THINKPHP漏洞拿到的webshell,如图:
这个脚本就是转发数据的功能,附加上中毒者的IP后转到真正的服务器地址:
69cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3W2)9J5k6e0m8Q4x3X3f1%4x3g2)9J5k6e0x3&6i4K6y4m8z5o6l9^5x3q4)9J5c8X3q4V1L8h3W2F1i4K6u0r3M7%4g2T1i4K6u0W2j5i4y4H3i4@1g2r3i4@1u0o6i4K6S2o6
也就是QQ木马的箱子地址,如图:
0x05:
通过对地址的进一步挖掘找到了作者的QQ号,和他女朋友的QQ:
木马作者的QQ:4102*42**
估计是他女朋友的QQ号:529944***
另一个女朋友吧?
245735*** 真实姓名 宋晶
作者的百度知道:
a7dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7q4)9J5c8U0b7I4x3o6t1$3y4o6t1J5z5q4)9K6c8X3k6J5L8$3#2Q4x3@1c8*7K9r3W2V1j5h3)9`.
木马作者发的易语言帖子,2011年就开始找写木马的高手了。
2f9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3g2&6N6i4W2S2L8W2)9J5k6h3y4G2L8g2)9J5c8Y4g2Q4x3X3g2H3K9s2m8Q4x3@1k6#2K9h3c8Q4x3@1b7K6x3o6x3&6x3o6f1`.
超级管理员登录地址:
0edK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3W2)9J5k6e0m8Q4x3X3f1%4x3g2)9J5k6e0x3^5i4K6y4m8z5o6l9^5x3q4)9J5c8X3q4V1L8h3W2F1i4K6u0r3M7%4g2H3k6i4u0Q4x3V1k6x3L8$3N6A6L8W2)9#2k6Y4y4Q4x3X3g2S2M7%4l9`.
截图:
一般用户登录地址:
956K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3W2)9J5k6e0m8Q4x3X3f1%4x3g2)9J5k6e0x3^5i4K6y4m8z5o6l9^5x3q4)9J5c8X3q4V1L8h3W2F1i4K6u0r3e0r3!0Y4K9h3&6Q4x3X3g2S2M7%4l9`.
截图:
使用木马的诈骗者用的工具,从通过这个软件去采集信息,采集一些大企业的邮箱,通过邮箱群发工具把木马发出去:
0x06:
继续详细的跟踪作者,去互联网上随便搜了搜,人肉结果如下,拒绝查水表,谢谢!
通过QQ 查看到QQ微博帐号是 a4102642**,得知这人的邮箱地址可能是:
a4102642**@163.com
a4102642**@126.com
名称:
然后通过支付宝的转账功能看了下,果真有个163的邮箱:
真名:*耀泉
和QQ资料相符:
可以看出就是这人的真实姓名
然后去试他的邮箱的密码:
果断选择通过密码提示问题找回:
看他交过这么多女朋友的经历,第一个猜测的是网游,错误了,第二次果断填的做爱,没想到竟然对了!
然后改了下密码,就进去他邮箱了:
邮箱收件箱的内容全被他删掉了:
已发邮件里找到了2011年的邮件,发现他2011年在通过SMTP协议的木马盗取QQ帐号密码:
通过邮箱里的文件,找到了一个银行卡号,正是作者的名字:
开户行:宾阳县的
宾阳都形成的诈骗的产业链了
这估计是他卖木马用的银行卡号:
从邮箱文件列表里又下载到一个压缩包:
拒绝查水表,我都删掉了,密码也改回来了!
0x07:
苦海无边,回头是岸;兄弟回头吧!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
吊炸天
|
|
|
|
|
|
|
|
|
|
|
|
 厉害
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
