网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

服务器被入侵检测
DBNT云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 875|回复: 3

steam盗号事件解析

[复制链接]

1805

主题

1万

帖子

1万

积分

版主

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

勤劳登录

发表于 2018-9-25 11:05:26 | 显示全部楼层 |阅读模式
本文为转载,原作者:[color=rgb(106, 119, 128) !important]hzqst
0x00 概述
近日,陕西、贵州、江苏、重庆等地网吧出现steam盗号事件,我们在网吧环境捕获了该盗号样本
样本作者的水平似乎不高,整个样本是由易语言编写,通过一个exe进行远程线程注入,注入一个payload dll到steam进程,dll再hook SteamUI.dll中TextEntry控件相关的函数。
盗号哥的朋友还把一些疑似源码的东西发到了某论坛上,这里留个pdf备份(已放附件123.pdf)


源码截图:


0x01 分析

pchunter可以很轻松找到钩子


钩子里面跳转到样本SteamDll.dll







懒得看他怎么拿到密码的,反正从钩子位置看是从steamui的TextEntry控件的某个函数里取的


0x02 渗透
盗号哥居然使用了明文FTP的方式上传盗来的账号




登上去看了下,这FTP还兼职当网页



里面全是账号密码




从盗号的payload dll中可以直接找到盗号者的QQ





比较搞笑的是盗号哥居然把网页账号密码直接写到php文件里了



登进他的网站看一看


截至发帖时盗号哥已经收集了2000个账号,按98一个号算,他已经盗了价值20W的号了






盗号哥服务器上的东西我已经帮他全部清了,他的ftp是119.188.248.121 账号qq9420986,密码是4316c992a3,有兴趣的可以上去玩玩(这个从steamdll.dll样本里可以直接提取)
0x04 总结在网吧登录自己的steam号是非常不安全的。虽然该样本是从控件里拿的账号密码,可以通过call steamclient!SendClientLogon来绕过控件盗号,但是在steam登录协议基本等同于明文的情况下, 依然不能保证不被别的方式(比如给steamclient下钩子,甚至截取UDP登录包并解密)盗号。

回复

使用道具 举报

1

主题

19

帖子

19

积分

新手上路(01级)

Rank: 1

发表于 2018-10-25 00:48:45 | 显示全部楼层
哦!知道了啊!~!!!!!!!!!!!!!!!!!!
回复 支持 反对

使用道具 举报

57

主题

627

帖子

661

积分

豁然贯通(05级)

Rank: 5Rank: 5

发表于 2019-3-4 17:10:18 | 显示全部楼层
帮忙笑一下
如果我穿越了,我就先帮亲们灭了日本
回复 支持 反对

使用道具 举报

0

主题

2

帖子

2

积分

新手上路(01级)

Rank: 1

发表于 2019-3-19 22:31:46 | 显示全部楼层
先坐下来占个位置,觉得很有用。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2019-7-22 07:09 , Processed in 0.143578 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表