浅析黑号界神器:94授权

0X00 前言

浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12cookie会发现你自己当前QQ号的cookie都在

浅析黑号界神器:94授权 第1张浅析黑号界神器:94授权 第2张

这里就有很大的问题

PEID查壳

浅析黑号界神器:94授权 第3张

程序载入OD后你会发现并不是易语言的push ebp

浅析黑号界神器:94授权 第4张

0x01 

浅析黑号界神器:94授权 第5张

使用CreateProcessA创建一个新进程

浅析黑号界神器:94授权 第6张

暂时先不管这个tmp到底是干嘛的 继续往下走

浅析黑号界神器:94授权 第7张

调用exitpocess后结束了进程

但是进程栏却多了一个进程

浅析黑号界神器:94授权 第8张

那么首先就是把注意力放在tmp文件上

浅析黑号界神器:94授权 第9张

使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本

浅析黑号界神器:94授权 第10张

他们的大小还是有区别的

 

0x02

通过分析修改后缀后的exe文件并没有什么可疑的行为

浅析黑号界神器:94授权 第11张

那么也许问题还是出在原来的程序上

至此大胆判断,目标程序执行流程应该是

浅析黑号界神器:94授权 第12张

为了找到它的病毒tmp 花了不少时间终于摸透了

浅析黑号界神器:94授权 第13张

需要把这个选项给关掉才可以看到他隐藏的文件

或者通过

浅析黑号界神器:94授权 第14张

Attrib cmd命令行查看也可以

0x03

通过winhex查看文件 发现是一个可执行文件 并且UPX加壳

浅析黑号界神器:94授权 第15张

UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe

浅析黑号界神器:94授权 第16张

如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了

浅析黑号界神器:94授权 第17张

0x04 敏感行为

浅析黑号界神器:94授权 第18张

获取键盘记录

 

 

查询IE缓存与修改

浅析黑号界神器:94授权 第19张

浅析黑号界神器:94授权 第20张

浅析黑号界神器:94授权 第21张

浅析黑号界神器:94授权 第22张

浅析黑号界神器:94授权 第23张

浅析黑号界神器:94授权 第24张

浅析黑号界神器:94授权 第25张

浅析黑号界神器:94授权 第26张

浅析黑号界神器:94授权 第27张

浅析黑号界神器:94授权 第28张

浅析黑号界神器:94授权 第29张浅析黑号界神器:94授权 第30张

浅析黑号界神器:94授权 第31张

QQcookie

浅析黑号界神器:94授权 第32张

浅析黑号界神器:94授权 第33张

老生常谈了

 

 

 

 

 

键盘记录

浅析黑号界神器:94授权 第34张

获取浏览器缓存

浅析黑号界神器:94授权 第35张

创建一个新线程

浅析黑号界神器:94授权 第36张

获取注册文件(简单说一下这是干嘛的,用来存放用于系统COM+或者其他组件注册的相关文件。

浅析黑号界神器:94授权 第37张

浅析黑号界神器:94授权 第38张

浅析黑号界神器:94授权 第39张

这个error也就是开头的报错

浅析黑号界神器:94授权 第40张

获取steam进程

浅析黑号界神器:94授权 第41张

浅析黑号界神器:94授权 第42张

窃取用户cookie文件

窃取Internet Explorer的缓存文件

浅析黑号界神器:94授权 第43张

.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.o.o.k.i.e.s.\.6.8.0.M.2.Q.F.R...t.x.t.......LMEM....p.0.86-.....C)..C.:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5txt.......LMEM......0..6-.....l)..C.:.\.U.s.e.r.s.\.A.d.m.i.n.i.s.t.r.a.t.o.r.\.A.p.p.D.a.t.a.\.R.o.a.m.i.n.g.\.M.i.c.r.o.s.o.f.t.\.W.i.n.

拼接一下就是

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\ID6U09P5.txt

浅析黑号界神器:94授权 第44张

其他获取QQcookie(通过快速登陆漏洞)

 

TCP链接

浅析黑号界神器:94授权 第45张

这应该是个远控功能

 

 

 

 

 

 

 

 

 

获取steam ssfn文件

浅析黑号界神器:94授权 第46张

94授权作者服务器:14.18.240.77

盗号器作者服务器:43.248.186.95

至此 此授权的基本大致行为就分析完了

下面是我画的流程图

浅析黑号界神器:94授权 第47张

0x05 免杀测试

测试杀软:腾讯电脑管家,360安全卫士,火绒安全

 

 

1. 腾讯电脑管家

指定扫描结果

浅析黑号界神器:94授权 第48张

运行是否拦截(免杀.exe未拦截)

浅析黑号界神器:94授权 第49张

浅析黑号界神器:94授权 第50张

2.360安全卫士

指定位置扫描

浅析黑号界神器:94授权 第51张

运行是否拦截

浅析黑号界神器:94授权 第52张

浅析黑号界神器:94授权 第53张

样本.exe运行未拦截

 

3.火绒安全

指定扫描

浅析黑号界神器:94授权 第54张

这有点看傻我了

 

运行是否拦截

浅析黑号界神器:94授权 第55张

浅析黑号界神器:94授权 第56张

释放的时候还是会拦截