本文作者:爱分享吧

大表哥操作失误“黑入”盗号哥的服务器,竟有价值20W账号?【吃鸡】

爱分享吧 1年前 ( 2018-09-28 ) 1851 抢沙发
大表哥操作失误“黑入”盗号哥的服务器,竟有价值20W账号?【吃鸡】摘要: 0x00 概述近日,陕西、贵州、江苏、重庆等地网吧出现steam盗号事件,我们在网吧环境捕获了该盗号样本样本作者的水平似乎不高,整个样本是由易语言编写,通过一个exe进行远程线程注...

0x00 概述

近日,陕西、贵州、江苏、重庆等地网吧出现steam盗号事件,我们在网吧环境捕获了该盗号样本

样本作者的水平似乎不高,整个样本是由易语言编写,通过一个exe进行远程线程注入,注入一个payload dll到steam进程,dll再hook SteamUI.dll中TextEntry控件相关的函数。

盗号哥的朋友还把一些疑似源码的东西发到了某论坛上,这里留个pdf备份(已放附件123.pdf)

源码截图:

源码.jpg

0x01 分析



pchunter可以很轻松找到钩子

2.jpg

钩子里面跳转到样本SteamDll.dll


懒得看他怎么拿到密码的,反正从钩子位置看是从steamui的TextEntry控件的某个函数里取的



0x02 渗透

盗号哥居然使用了明文FTP的方式上传盗来的账号

登上去看了下,这FTP还兼职当网页

8.jpg

里面全是账号密码

10.jpg

从盗号的payload dll中可以直接找到盗号者的QQ

比较搞笑的是盗号哥居然把网页账号密码直接写到php文件里了
13.jpg

登进他的网站看一看

14.jpg

截至发帖时盗号哥已经收集了2000个账号,按98一个号算,他已经盗了价值20W的号了

15.png

盗号哥服务器上的东西我已经帮他全部清了,他的ftp是119.188.248.121 账号qq9420986,密码是4316c992a3,有兴趣的可以上去玩玩(这个从steamdll.dll样本里可以直接提取)

0x04 总结

在网吧登录自己的steam号是非常不安全的。虽然该样本是从控件里拿的账号密码,可以通过call steamclient!SendClientLogon来绕过控件盗号,但是在steam登录协议基本等同于明文的情况下, 依然不能保证不被别的方式(比如给steamclient下钩子,甚至截取UDP登录包并解密)盗号。


文件下载
资源名称:SteamDll样本+PDF说明文件大小:1.12MB


文章版权及转载声明:

作者:爱分享吧本文地址:https://www.shykx.com/category/284.html发布于 1年前 ( 2018-09-28 )
文章转载或复制请以超链接形式并注明出处爱分享吧|软件分享平台

分享到:
赞(0

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,1851人围观)参与讨论

还没有评论,来说两句吧...