从CF活动助手到Steam账号扒手

网络游戏辅助和辅助工具一直受到一些游戏玩家的喜爱。但由于此类软件不少存在扰乱游戏公平、篡改游戏数据等问题，损害了游戏运营商和遵守游戏秩序的玩家的利益，因此一直受到游戏厂商和运营商针对。正是因为这是一个相对灰色地带，所以此类工具都是由个人或小团队开发和维护的，可谓鱼龙混杂。还有大量开发者——追求非法利益，利用游戏协助传播病毒、木马及各种恶意程序，甚至还有人趁机盗取游戏账号装备。今天我要提的‘CF活动助手’就是其中之一。

CF活动辅助分析

CF活动助手是一款流行的游戏辅助工具，支持多种功能。下面是其官网的介绍，包括‘最新活动通知’、‘一键领取活动礼物’、‘成就、消费、仓库查询’功能，还有‘永久免费’，看来是个好帮手，

图1 官网助手功能介绍

从官网用户实时统计数据可以看出：其日用户IP数可达7万+，PV量达到12万，这也说明其确实深受用户喜爱。

图2 CF活动助手用户规模

图3. CF Activity Assistant程序界面

为了保证及时跟进游戏运营商推出的活动，并保证其“查询功能”界面的有效性，CF活动助手在启动时会通过云端下拉配置方式获取自身运营所需的配置信息。它使用的云配置信息地址如图4所示：

图4. 程序中使用的云控制地址

图5 程序官网加密云控制信息

解密其云控配置后可以发现，去掉程序相关的配置信息后，还包含安全软件的检测以及下载执行远程程序的功能。

图6. 安全软件进程名称配置字段

图7. 远程下载程序配置字段

其中，下载了名为“QMBroswer.exe”和“QMBrowser.exe”的文件。前期分别传播了“QQ空间广告刷”病毒和“Steam盗号器”。中间的“server.exe”文件是下载器木马。

1.下载器木马

该木马启动后会主动向远程地址发起下载请求，下载多个程序在本地执行。虽然在URL链接中，这些文件都以.txt结尾，但实际上它们大部分都是可执行程序，其中还包括驱动程序（SYS）和动态链接库程序（DLL）。具体功能还可能取决于服务器控制器。更改会因修改而丢失。

图8. 下载数据包捕获

另外，木马还会将中毒机器的相关信息上报给服务器进行统计。

2.Steam帐户黑客

黑客启动后，会终止正在运行的“Steam”客户端，然后通过枚举磁盘文件找到Steam客户端安装路径。

图9. 结束Steam 进程

图10. 发布盗号模块

找到Steam客户端安装路径后，会向该路径释放一个名为IPHLPAPI.dll的库文件，用于DLL劫持，以便Steam客户端下次启动时加载该DLL文件。

图11.盗号模块注入Steam进程

DLL加载后，会通过钩子钩住SteamUI.dll模块的四个位置：'UserNameEdit'、'Password'、'RememberThisComputer'和'Steam_GetTwoFactorCode_EnterCode'，如下：

图12. 帐户窃取模块寻找钩子点

图13. 要拦截的控件名称

这样，每次用户通过输入账号和密码登录Steam时，劫持客户端的DLL也会盗取账号和密码。

3.“QQ空间广告刷”病毒

病毒运行后会通过QQ本地认证接口获取SKey，然后利用Skey跳转到所有QQ产品。该病毒会选择跳转到QQ空间和兴趣部落，在未经用户同意的情况下发布广告。

图14.谈谈QQ空间的使用

图15.“利益部落”的评论

实际发布内容如下图：

图16. 类似的广告内容

流行的Steam 帐户黑客攻击

自《绝地求生》在国内火爆以来，针对Steam的盗号产业链发展极为迅速。不仅是这个辅助，我们还发现了大量针对Steam的各种盗号攻击。

号码是如何被盗的？

目前流行的盗号方式大致可分为三类：

1.钓鱼页面，骗取账户密码

通过冒充非常相似的“活动页面”，诱骗受害者输入账户和密码，以接收所谓的“礼包”或“CDKEY”。一旦输入此信息，该信息将被发送到黑客的“盒子”进行存储。然后它们被打包并转售或抢劫。

图17. 假Steam 网络钓鱼页面

2、曲线救国，利用账号找回功能盗账号

找回账户功能是指一旦用户忘记原始密码，平台通过预先绑定的邮箱地址发送“证书”，以便用户可以重置密码。一般来说，此类功能的设计原则是基于认为该帐户所使用的注册电子邮件持有者是值得信赖的。也就是说，能够查看注册电子邮件内容的人可以被信任为帐户所有者本人。但由于腾讯本地统一认证接口的存在，上述这套信任逻辑已经变得不再可靠。

图18. Steam 平台发送的密码重置凭证

腾讯本身提供的这套接口，是为了方便用户登录其全线产品而设计的一套机制。但是，由于调用者没有经过验证，因此可以调用用户计算机上运行的任何程序来获取SKey（身份验证令牌）。如果用户使用QQ邮箱绑定Steam账号，攻击者可以通过主动发起“找回密码”的方式访问Steam平台，然后使用Skey从受害者邮箱中获取“凭据”来重置密码。此外，受害者的Steam绑定邮箱可以被修改，使受害者无法找回他的帐户。

常见的包括以“XX变声器”和“XX加速器”命名的“数字化器”，通过聊天工具和电子邮件传播。

图19. Steam 记录器通过电子邮件传播

3.从登录设备启动，直接获取账户密码

上述“CF活动助手”利用“DLL劫持”方式注入Steam登录程序，通过挂钩相应的控制处理逻辑窃取受害者的登录账号和密码。这种方法非常隐蔽，受害者很容易被发现。同时，也有账户盗贼利用“远程线程”注入窃取受害者的账户密码。比较常见的有：

1）DLL劫持，位于Steam安装目录名为IPHLPAPI.DLL

2）进程注入，release模块位于Steam安装目录，名称为cuic.DLL

被盗账户将如何处理？

受害者账户最终的流程无非如下：

1、账户内有高价值虚拟财产，可转让、出售。

2、账户安全预留信息可更改，价值高。修改信息后，该账户可以作为高价值黑账户（几元到几百元不等）出售。

3、如果账号价值高，盗号者对该账号内的游戏感兴趣，盗号者就会将其留作己用（作弊）。

4、剩余价值较低的账户将被打包出售。最终还是落入了“商好集”账户庄家手中。

图20. Steam黑色账号租赁（账号上传者）

图21.Steam黑色账号圈

图22. Steam黑账户交易

如何避免号码被盗？

1.尽量避免使用第三方辅助软件。

2、无论是游戏账号还是邮箱账号，尽可能启用多重安全机制（如手机动态密码App等）。

3、避免在不可信的环境（如网吧）使用自己的游戏账号。

4、360安全卫士具有“游戏账号保护”功能，开启后可以有效防止游戏账号被黑客盗取。