一窺中國快速發展中的地下線上遊戲經濟- XWM Trojan木馬工具組剖析

截至200912月,約有265百萬,或全中國境內68.9%的網際網路使用者,曾玩過線上遊戲。中國共計有750個線上遊戲供應商,總收益約達250億人民幣。

引言

線上遊戲在中國非常熱門。事實上,截至2009年12月為止,約有265百萬,或全中國境內68.9%的網際網路使用者,曾玩過線上遊戲。同一時期中國共計有750個線上遊戲供應商,總收益約達250億人民幣

線上遊戲玩家不只在遊戲上花許多時間,同時也花了高額的金錢。為了提升線上遊戲體驗,玩家投入金錢購買虛擬資產如黃金,手工藝品;以及如能量升級(power leveling),黃金農場(gold farming),及其它在數個線上交易平台以實體貨幣交易(real money trading,簡稱RMT)等類的服務。多數的線上交易平台皆為公開的市場,任何人皆可使用簡易的付款機制來買賣虛擬資產或服務。種種因素皆促使RMT實體貨幣交易市場逐漸擴大,虛擬資產收益總額在2009年約達人民幣340億元

網路犯罪份子當然不會放過如此龐大的商機,因此製作出Trojan木馬工具組來偷盜玩家帳戶憑證,並販賣受害玩家所累積的虛擬資產。網路犯罪份子因此更能輕易地取得金錢,也使得線上遊戲Trojan木馬成為中國一大安全威脅。

線上遊戲Trojan木馬的繁衍改變了地下經濟。地下經濟出現了新角色,如將Trojan木馬,以及虛擬資產竊盜者及買家。

本研究報告將介紹一款熱門的線上遊戲Trojan木馬工具組,名為響尾馬(Xiang Wei Ma,簡稱XWM的工具組,即響尾木馬之意,其主要的攻擊目標為中國的熱門線上遊戲。

XWM工具組概論
 
XWM工具組包括21個附有後台伺服元件的Trojan木馬產生器,每一個皆針對一款中國熱門的線上遊戲。多數的目標對象皆是中國當地的線上遊戲。
圖1、XWM工具組Trojan木馬產生器

XWM工具組的目標特別是下列的中國線上遊戲:
 
 

後台伺服器是一個接收Trojan木馬傳送所竊得資料的網站。網路犯罪份子利用這個被他們稱之為信箱的網站儲存偷盜得來的資料。
圖2、 XWM工具組後台伺服元件

後台伺服器是一個接收Trojan木馬傳送所竊得資料的網站。


木馬產生器
XWM工具組中的Trojan木馬產生器需要先行設定才能用以產生新的Trojan木馬。使用者需要將後台伺服器的URL輸入到工具組的功能設定模組中,才能接受所製作出來的Trojans木馬所偷盜得的資料。
圖3、XWM工具組功能設定視窗

設定模組同時備有壓縮選項,使用者可選擇是否壓縮所製作的Trojans木馬。XWM工具組使用一個叫做Upack的封裝器來壓縮惡意使用者所製作的Trojans木馬。
圖4、使用Upack來壓縮使用XWM工具組製作的Trojans木馬

在按下製作(Generate)鍵後,XWM工具就會產生新的.EXE檔Trojan木馬。
XWM TROJANS木馬及元件
當執行XWM Trojan木馬時,會將下列檔案投擲入受感染的系統中:
  %system32%\{4個隨機字母}.dll
  %system32%\{4個隨機字母}.cfg
  %system32%\drivers\msacpe.sys
XWM Trojan木馬的惡意程序其實相當簡單。首先會產生一個 .DLL和一個 .CFG檔到被感染的系統中,這兩個程式皆使用4個隨機字母做為名稱。接著將 .DLL檔案載入系統記憶體中。這個檔案程式具有下列主要功能:
         終止安全軟體運作。會終止和一個中國安全軟體供應商360相關的數個運作。
產生一個啟動程式並製作與其相關的服務。產生一個名叫msacpe.sys的啟動程式,接著製作出名為mseqsv的服務,並利用前者做為圖片檔。其作用在做為此惡意軟體的網路嗅探器,可從被感染的系統偷盜資料。
偷盜線上遊戲資料。為達此目的,程式會搜尋線上遊戲設定檔案如config.ini,info.ini及其它含有以下資料的檔案:
   使用者名稱
   線上遊戲伺服器名稱
   線上遊戲伺服器所在區域
程式接著搜尋與線上遊戲相關的流程,並讀取其記憶空間,以便竊取以下資料:
         遊戲角色
         遊戲層級
        虛擬貨幣金額
當msacpe.sys找到與目標線上遊戲相關的流程時,便會將程式碼注入程序中,並從程序中取得如密碼等的資料。

將竊得的資料傳送給後台伺服器。程式同時也會將到手的資料傳送到網路犯罪份子所持有的後台伺服器。程式使用以下字串做為URL的參數:
?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的參數有8種變化如下:
a = 線上遊戲伺服器所在區域
s = 伺服器名稱
u = 使用者名稱
p = 密碼
r = 角色
l = 層級
m = 虛擬貨幣
pin = 個人辨識碼(personal identification number,簡稱PIN)

Trojan木馬會使用所說的參數將偷來的資料回傳給後台伺服器。msacpe.sys檔案會協助 .DLL檔案偷盜資料。.CFG檔因此只包含加密的後台伺服器URL,在設定Trojan木馬產生器時加入。

後台伺服器接受Trojan木馬竊得的資料。伺服器是一個使用了動態伺服器網頁(Active Server Pages,簡稱ASP技術的網站。為了測試這個惡意軟體,我們設了一個使用了網際網路資訊服務(Internet Information Services,簡稱IIS的網站。如圖所示,後台伺服器需要使用者名稱和密碼以便登入。

圖5、後台伺服器登入頁面

後台伺服器備有4個主要功能:
*      檢查偷盜得的資料
*      管理群組使用者
*      管理一般使用者
*      複審伺服器訪客紀錄

圖6、後台伺服器4個主要功能

動態伺服器網頁(Active Server Pages,簡稱ASP)是Microsoft微軟第一個為機動產生網頁而提供的伺服端程式碼引擎。最初是透過NT 4.0選項套組做為網際網路資訊服務(Internet Information Services,簡稱IIS)的外掛程式來發佈,之後成為Windows 2000伺服器的免費元件之一。

 
群組使用者多數指的是網站的持有者。可增加或移除使用者帳戶,無論是網頁的typeXpower或normalXon。
圖7、群組使用者的管理頁面

相較之下,一般使用者則可看到被偷盜的除了密碼外的資料。一般使用者通常會被給予Trojan木馬分送器。
圖8、一般使用者的管理頁面

Trojan木馬分送者利用破壞弱點漏洞的方式入侵合法網站,並將Trojan木馬的下載URL注射入被入侵的網站中。他們也可與數個提供免費下載音樂,電影和軟體的小網站管理者達成協定。這些網站的管理者會將Trojan木馬下載URL注射到所管理的網站中,誘使用者點擊惡意的URL。Trojan木馬分送者會支付款項給網站管理者。Trojan木馬分送者則按所偷得的帳戶數量獲得金額,因此他們需要定期登入到訪客紀錄頁面去查看最新的偷盜得的帳戶資料數量。
圖9、訪客紀錄頁面

這套Trojan木馬工具組背後的網路犯罪集團製作了一個展示頁面,其中包括了利用該套工具取得的偷盜資料樣本,藉由XWM工具組的能力展示來說服客戶。
圖10、展示網頁中被竊得資料的樣本


多數被偷盜的資料皆在RMT實體貨幣交易平台販售,如5173.com和Taobao.com
圖11、在5173.com上販售的被竊虛擬資產樣本


更多關於XWM的內容
無庸置疑地,製作出XWM工具組的網路犯罪集團主要目的就是獲取利益。他們將工具組賣給其他的網路犯罪份子,其證據就是在展開XWM工具組後出現的註冊視窗。使用者如果想要使用Trojan木馬產生器就需要購買並輸入註冊碼。
圖12、XWM工具組註冊視窗

XWM工具組的製作罪犯也在特定的網站中廣告該套工具組。在該則廣告中,一個Trojan木馬產生器可以人民幣2千3百元購得。每一式Trojan木馬執行檔價格則是在人民幣2百50元。購買Trojan木馬產生器或至少一個Trojan木馬的使用者,同時也可獲得6個月免費的防偵測服務,以及後台伺服器的寄存服務。不過使用者也可使用自己的後台伺服器寄存。
圖13、XWM工具組廣告


結論
本研究報告所介紹的,是一款熱門的線上遊戲Trojan木馬工具組,名稱是XWM工具組。XWM工具組有兩個主要元件,一個是Trojan木馬產生器,另一則是後台伺服器。
XWM工具組極為容易設定。要製作一個Trojan木馬時,網路犯罪份子只需要將後台伺服器的URL 輸入到Trojan木馬產生器的設定區內即可。被製作並分送到使用者系統的Trojan木馬便可開始偷盜資料,並按網路犯罪份子所指定的URL傳送到後台伺服器中。

而所附的後台伺服器使用也非常容易,因其會將到手的資料妥為組織整理,讓偷盜虛擬資產的工作可迅速執行。

XWM工具組的目標是中國境內21個熱門線上遊戲的數百萬名網際網路使用者。龐大的遊戲人口使此Trojan木馬工具組極有可能成為最受網路犯罪份子喜愛的攻擊路徑。


因此提醒使用者們,特別是熱情的線上遊戲玩家們,在回應無預期的下載要求時務必要特別小心。我們強烈建議不要下載看來可疑的檔案,也不要點擊不太可信的聯結。




 



0 意見: