WooYun.org

今天讲个盛大的游戏,鬼吹灯.
从几个方面分析下一个简单的木马是如何盗号的.
内存一直是端游的设计盲区(除非部分特殊游戏DNF等大部分数据本地计算的网络游戏,但是这是极少数的)
因为大部分游戏防护的只有2种,外挂和盗号
外挂主要是防止异常封包等,盗号主要是hook键盘,但是内存几乎不会得到任何重视,因为
1:你修改内存不会直接被盗号.
2:你修改内存不会对你在游戏内获得额外的利益.
那么问题来了,真的不会被盗号吗?
我们来测试下

可以看到游戏还是有一定的防护的

这个时候如果运行木马你说会被盗号吗?
99%的人会说现在怎么会被盗号呢
其实这个是后是最容易被盗号的
而已一个木马可以是通用的盗号木马
木马可以读一个内存就能盗号

帐号密码是直接明文储存的而且这种例子不是一个两个
也就是说一个这种木马想要通用盗号只需要2个参数即可实现
游戏进程ID 与 内存地址
这是读取内存盗号,如果只是单单这样还是构不成通用型
还有个就是写入, 那么写入是如何盗号的呢?
下面还是看鬼吹灯很经典的
首先看2个内存基址

一个是找回密码的域 一个是修改密码的域

一般的钓鱼 要么做个假网站发送链接欺骗 要么修改hosts文件
第一种需要和受害者发生交互,利用难度高且不能批量
第二种需要修改写入文件,极易触发杀软的拦截
但是我们只要修改这2个域那么就会起到意想不到的结果

将这2个域全部修改成wooyun/org
这个时候你再点击修改密码和找回密码就会跳转到wooyun

如果修改成钓鱼网站
第一 这个是客户端进行的一个跳转 受害者很难察觉
第二 这个是信任程序进行的一个网页弹出操作 一般杀软也是不会进行拦截的
只是这样吗? 还有...
一般游戏在游戏内打开游戏官网或者其他内部链接的时候,出于用户体验,会直接登录
那么修改这个域名的时候登录key会直接随之提交给目标域

通过抓包可以看出来,提交了参数包括人物名称,帐号,ID,key等一些信息
同样的,我们修改内存域名wooyun.org
再点VIP客服

结果是直接将这些重要参数 提交给了wooyun
说明内存钓鱼的可行性极高 而且防御薄弱
此种钓鱼方式可能在受害这在游戏内被钓鱼
据我所知,现在很多端游的内购商城均采用web方式
虽然内置浏览器使用的是非IE内核但是这种方式依然可以实现钓鱼
很多厂商把非IE内核当作无敌盾牌,却忘了他的基本调用模式
所以导致在游戏内被并且玩家无法得知钓鱼地址游戏厂商也无法在服务端发现异常
杀软更是无从得知
极其隐蔽且通用性高,利用难度低