0×1 概述

腾讯御见威胁情报中心近日检测到某游戏的死神外挂工具被内置远程控制木马。这个外挂程序运行前，先欺骗诱导用户关闭杀毒软件，声称本外挂程序会被杀毒软件“误杀”。一旦游戏玩家信以为真，在关闭或退出杀毒软件之后运行外挂程序，暗藏在外挂程序包里的farfli家族系列远程控制木马就被释放运行。

当游戏玩家在电脑上运行这个死神外挂程序之后，电脑即被黑客完全控制而沦为“肉鸡”。外挂程序释放的farfli家族系列远程控制木马会在内存中装载一个CMD命令控制台，可供黑客执行任何命令。

这个远程控制木马还可以监控电脑屏幕、监控麦克风、摄像头，监控中毒电脑的每一个键盘操作，远程控制电脑重启、注销或关机；远程控制中毒电脑下载安装任意程序；攻击者还可以控制肉鸡电脑发起DDoS攻击。

一句话总结：就是游戏玩家一旦退出杀毒软件，运行这个死神外挂辅助程序，这台电脑就不再是自己的了，游戏玩家在电脑中的一切都将暴露在黑客眼前。

图1

0×2死神外挂分析

该游戏外挂以死神为名，运行后会释放出恶意木马程序。

图2

木马流程图

图3

释放出的木马exe经简单花指令后，执行内存装载函数，传入名为PluginMe的导出函数执行。

图4

木马进一步在内存解密出一个PE文件

图5

解密算法使用简单的凯撒移位+异或实现，通过内存Dump出解密文件可知为一个DLL模块，分析后可知该DLL为一个支持CMD后门、屏幕监控、摄像头监控、语音监控、键盘记录和DDoS攻击等功能的恶意远程控制木马，木马使用双C2来进行肉鸡远程操控。

图6

C2地址1：keikei.f3322.net

图7

C2地址2：ip.yototoo.com

图8

键盘记录功能

图9

屏幕信息监控

图10

ShellExecute指定参数执行，浏览器带参指定执行

图11

创建管道形式的CMD后门

图12

窃取进程信息

图13

窃取窗口信息

图14

DDoS网络攻击

图15

网络攻击相关代码

图16

清除系统日志

图17

指定提权强制关机、注销、重启

图18

拉取云端文件下载执行

图19

下载者功能

图20

卸载自身功能模块文件，从此处也可知该木马还支持下发插件形式的语音、摄像等隐私窃取功能。

0×3 溯源分析

1. 作者溯源

通过搜索引擎查找关键字”死神”外挂辅助程序，可在某外挂编程论坛找到疑似作者发布的招收代理信息页面。

2. 代理溯源

通过搜索引擎查找该辅助代理信息，进一步找到一个名为“ 林天科技网”的网盘地址，可发现该网盘售卖辅助品牌品类繁多，有死神科技、虐杀、瘟疫等多个“品牌”的辅助在售卖。

图22

下载网盘中最新版的死神3.0版本，解压后打开作者留下的使用说明，可发现作者提示用户第一句话为：先关闭杀毒软件，以防止“误杀”。

图23

实际测试网盘中的3.0版本依然会释放出名为Server.exe的恶意远程控制木马。

图24

通过腾讯御见威胁情报中心平台查看C2地址：Ip.yototoo.com信息，可发现该C2关联到大量的恶意样本，均为后门远程控制类型，可知该辅助作者擅长使用特洛伊类型木马。目前暂不清楚此次木马投放行为为死神辅助代理作为，还是死神辅助作者所为。

图25

0×4安全防范建议

1. 不建议游戏玩家使用外挂、游戏辅助工具等软件在游戏中作弊；

2. 如果某个外挂或游戏辅助工具建议你在运行前关闭杀毒软件，应小心这是陷阱，病毒木马传播者一贯用类似手段欺骗用户退出杀毒软件；

3. 推荐用户使用腾讯电脑管家拦截假冒游戏外挂或游戏辅助工具的病毒木马。

0×5 IOCs

MD5

69197c047e2c1737c0f29b02ad0cb6ca

cbfe69aa36b3bb2b1bd9f5789013da56

C2

keikei.f3322.net

Ip.yototoo.com

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！