各位老铁们,大家好,今天由我来为大家分享CF活动助手演变:Steam账号安全风险解析,以及的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
CF活动助手是一款比较流行的游戏辅助工具,其支持的功能很多,以下是其官网的介绍内容,包括"最新活动通知","一键领取活动礼品","战绩、消费、仓库查询"功能,并且"永久免费",看起来确实是不错的辅助,
图1. 官网的助手功能介绍
通过官网的用户实时统计可以看出:其每日的用户IP数可达到70000+,PV量已经达到了12万,这也从一个侧面说明了其确实深受用户喜爱。
图2. CF活动助手的用户量
图3. CF活动助手程序界面
CF活动助手为了保证能及时跟进游戏运营方推出的活动,同时保证其"查询功能"接口的有效性,会在启动时通过云端下拉配置方式获取自身运行所需配置信息,其使用的云端配置信息地址如图4所示:
图4. 程序内使用的云控地址
图5. 程序官网的加密云控信息
通过解密其云控配置后,可以发现除去程序相关的配置信息后,还包括对安全软件的检测,同时具有下载并执行远端程序的功能。
图6.安全软件进程名配置字段
图7. 远端下载程序配置字段
其中下载文件名为"QMBroswer.exe"和"QMBrowser.exe"的文件,在前期分别下发过"QQ空间广告刷手"病毒以及"Steam盗号器"。而中间的"server.exe"文件,则是一个下载者木马。
1. 下载者木马
该木马启动后,会主动向远端地址发起下载请求,下载多个程序到本地执行。虽然在URL链接中,这些文件均已.txt结尾,但实际上大多均为可执行程序,其中也包含驱动程序(SYS)和动态链接库程序(DLL)等,具体功能也可能由于服务器控制者的修改而损失变化。
图8. 下载抓包
此外,该木马同时还会将中毒机器的相关信息上报给服务端用以统计。
2. Steam盗号器
盗号器启动后会结束正在运行的"Steam"客户端,之后通过枚举磁盘文件方式找到Steam客户端安装路径
图9. 结束Steam进程
图10. 释放盗号模块
找到Steam客户端安装路径后,会向路径内释放名为IPHLPAPI.dll的库文件用作DLL劫持,这样Steam客户端在下次启动时会加载该DLL文件。
图11. 盗号模块注入Steam进程
该DLL一旦被加载,便会通过hook方式挂钩SteamUI.dll模块的4处位置:分别为"UserNameEdit"、"密码"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode",如下:
图12. 盗号模块寻找hook点
图13. 待拦截的控件名称
如此一来,每当用户通过输入账号密码的方式登录Steam的时候,劫持了客户端的DLL同时也会窃取这份账号和密码。
3. "QQ空间广告刷手"病毒
病毒运行后,会通过QQ本地认证接口取到SKey,之后带Skey可跳转全线QQ产品,病毒会选择跳转QQ空间和兴趣部落,在非用户自愿的情况下,发布广告。
图14. 刷QQ空间说说
图15. 刷"兴趣部落"评论
实际发布内容如下图所示:
图16. 类似广告内容
火爆的Steam盗号
自"绝地求生"在国内爆红之后,针对Steam的盗号产业链发展得可谓异常迅猛,不只这一款辅助,我们还发现了大量各种针对steam的盗号攻击。
号码如何被盗?
目前流行的盗号方式大体可分为三类:
1. 钓鱼页面,骗取账号密码
通过伪装成相似度极高的"活动页面"诱骗受害者输入账号密码来领取所谓的"礼包"或"CDKEY",而一旦输入这些信息,信息便会被发送到盗号者的"箱子"中存储起来,后续被打包转卖或者洗劫。
图17. 伪造的Steam钓鱼页面
2. 曲线救国,利用账号找回功能盗取账号
账号找回功能是指在用户一旦忘记原有密码时,平台方通过其预先绑定的邮箱地址发送"凭证",用户以此即可重置其密码。一般来说,此类功能的设计原则,是基于认为账号所使用的注册邮箱持有者是可信的——即,能查看注册邮箱内容的人,可以被信任为就是账号主人本人。但由于腾讯本地统一认证接口的存在,以上这一套信任逻辑就变得不再可靠。
图18. Steam平台发送的密码重置凭证
腾讯所提供的这套接口,本身是为了方便用户登录其全线产品所设计的一套机制。但由于没有对调用者进行校验,所以任何在用户计算机中运行的程序都可以调用从而拿到SKey(认证Token),如果用户使用了QQ邮箱绑定其Steam账号,那攻击者通过在Steam平台主动发起"密码找回",之后通过Skey在受害者的邮箱中取到"凭证"从而重置密码,更进一步可以修改掉受害者的Steam绑定邮箱,使得受害者无法再找回其账号。
常见的有以"XX变声器"、"XX加速器"命名的"撸号器",通过聊天工具、邮箱方式进行传播。
图19. 通过邮箱传播的Steam撸号器
3. 对登录器下手,直接获取账号密码
前文所述的"CF活动助手"即为以"DLL劫持"方式注入Steam登录程序,通过hook相应的控件处理逻辑从而偷取受害者登录账号及密码,而这种方式非常隐蔽,受害者一时很难察觉,同时也存在盗号器以"远线程"注入方式盗取受害者账号密码,其中比较常见的有:
1) DLL劫持,位于Steam安装目录下名称IPHLPAPI.DLL
2) 进程注入,释放模块位于Steam安装目录名称为cuic.DLL
被盗账号会被如何处理?
受害者的账号最终流向,不外乎是以下几种:
1. 账号内有高价值虚拟财产,会被转移后卖掉。
2. 账号安全预留信息可改且价值较高的,修改信息后转手当做高价值黑号卖掉(几元到几百元不等)。
3. 账号价值较高且盗号者自己对账号内游戏感兴趣的,盗号者留作自用(开挂)。
4. 其余价值较低账号,打包出售。最后还是流到"上号器"号商手里。
图20. Steam黑号出租(上号器)
图21. Steam黑号圈子
图22. Steam黑号交易
如何避免号码被盗?
1. 尽量避免使用第三方辅助软件。
2. 无论是游戏账号还是邮箱账号,尽可能启用多重安全机制(如手机动态口令app等)。
3. 在非可信环境下(如网吧)避免使用自己的游戏账号。
4. 360安全卫士具备"游戏账号保护"功能,在开启情况下可有效阻止游戏号码被黑客窃取。
图23. 360安全卫士拦截威胁程序对Steam客户端的注入操作
用户评论
这游戏的剧情太刺激了,从小英雄一路成为黑幕,好想看看他最终会变成怎样的人!!
有15位网友表示赞同!
感觉这题材很有趣,CF大家都很熟悉,但从活动的辅助功能发展到盗号事件,这其中的转变让人好奇。
有18位网友表示赞同!
游戏画面风格是什么样的呢?复古还是现代?
有10位网友表示赞同!
听说这个游戏剧情根据真实故事改编的?太厉害了!期待体验真实的犯罪世界。
有6位网友表示赞同!
玩过CF的人一定能对里面的道具和玩法有感觉,这游戏会不会直接融入我们熟悉的元素呢?
有15位网友表示赞同!
我希望游戏能够展现出不同角色的心理变化以及他们的选择。毕竟从正派到黑道也不是一蹴而就的。
有10位网友表示赞同!
Steam盗号事件真是令人害怕!这款游戏的反派角色一定能让人印象深刻吧?
有9位网友表示赞同!
不知道游戏里的操作会是什么样的,会不会是策略型的还是动作型的呢?
有13位网友表示赞同!
这游戏太有话题性了,一定很多人想体验一下这种颠覆传统的剧情。
有11位网友表示赞同!
要是能和朋友一起组队玩,探讨剧情的发展岂不更好!希望游戏支持多人模式。
有12位网友表示赞同!
我已经迫不及待想要了解更多关于这款游戏的细节了!
有18位网友表示赞同!
我觉得这游戏题材很有潜力,可以展现出人性复杂的一面。
有9位网友表示赞同!
会不会有那些CF经典地图的加入呢?真要太棒了!
有10位网友表示赞同!
这种类型的游戏以前很少见,我非常期待能体验一下这个新鲜感!
有5位网友表示赞同!
我希望游戏的音效做得比较好,能够营造出沉浸式的氛围。
有13位网友表示赞同!
希望能看到一些引人入胜的剧情点和角色塑造,让人能够更加贴近故事。
有20位网友表示赞同!
如果游戏质量好,相信一定會獲得很多玩家的喜愛!
有6位网友表示赞同!
我真想看看这个游戏的结局会如何,玩家最终的选择会是什么呢?
有16位网友表示赞同!
期待更多的官方爆料和宣传,让我对这款游戏更加了解!
有6位网友表示赞同!