当前位置：网站首页 > Steam > 正文

steam官网入口注册，正版steam官网入口注册

手机抢红包 2023-05-07 21:12 135 浏览

　　导语

　　这个故事要从一次垃圾邮件攻击事件说起steam官网入口注册，下图是一个笔者从某封垃圾邮件里提取的可疑附件。至于下面这蹩脚的英语，这也是值得steam官网入口注册我们注意的地方。

　　上图的附件使用steam官网入口注册了“.doc”作为后缀，但它其实是RTF(富文本)格式的文件。该文件包含了一个针对性的RTF栈溢出exp，它利用了CVE-2010-3333，也就是在微软Word RTF解析器在处理pFragments时会产生的一个漏洞。然而，该漏洞在五年前就已经修补了。

　　正如你在上图中看到的那样，该exp和shellcode做了混淆来逃避杀软的检测。经过各种提取整理解密之后，笔者发现该shellcode会从volafile.io上面下载文件来执行。

　　下载下来的这个文件是微软.net Win32可执行文件，简单hex dump了这个文件，笔者发现了HawkEyekeylogger字符串。

　　在谷歌后发现，它指引笔者找到了开发该键盘记录器的官网。在网站里，他们列出了该键盘记录器一些的特性。

　　在笔者动态的分析中，该键盘记录器会把自身**一份到Application Data(%appdata%)文件夹，并且将**后的文件命名为WindowsUpdate.exe。同时，它在注册表里设置了开机启动，以实现其持续性攻击。

　　并且，它还会在受感染的系统里释放以下文件：

　　%Temp%\Sysinfo.txt – 释放的恶意软件exe路径

　　%Appdata%\pid.txt –恶意软件进程ID

　　%Appdata%\pidloc.txt – 恶意软件进程exe路径

　　接着，笔者观察到该键盘记录器试图去checkip.dyndns.com，获取受感染系统的外网IP。这个合法的网站经常被恶意软件利用，拿来确定受感染系统的IP地址。

　　过了一会儿，笔者监控到了SMTP流量，发现了受感染系统发送信息给黑客email的动作。

　　里面的信息可能包括：

　　计算机名

　　本地日期和时间

　　系统语言

　　操作系统

　　平台

　　操作系统版本

　　内存

　　.net框架

　　系统权限

　　默认浏览器

　　防火墙

　　内网IP地址

　　外网IP地址

　　恢复邮件设置和密码

　　恢复浏览器和FTP密码

　　正如前面笔者提到的，这款键盘记录器是由.net编译的。所以，笔者接下来需要反编译这个可执行文件。笔者使用了一个开源的.net反编译工具ILSpy来完成这个任务。

　　笔者反编译出了源代码，并将其与官网的特性列表进行比较，结果表明是完全符合的。笔者发现其代码有以下的特点：

　　一个剪贴板记录器

　　一个浏览器，FTP和邮件客户端密码记录器。它也会去尝试窃取密码管理器证书和windows密钥。

　　蠕虫类的USB感染程序，可以让记录器感染扩散到其他windows机器。

　　它也针对一些Steam游戏平台的用户，通过删除配置和登录数据文件，用户会强制再次登录。这就给了键盘记录器窃取用户Steam认证的可乘之机。

　　窃取的信息里包括桌面截图，它们会被发送到黑客的邮箱，或者键盘记录器里配好的FTP服务器上。

　　黑客貌似也会配置键盘记录器，通过HTTP将窃取的信息上传到PHP服务器上。但是奇怪的是，这里的代码留空了。

　　笔者在反编译时，发现最有趣的是一个C#的构造函数Form1()。这是键盘记录器储存配置的地方，但是为了确保黑客电子邮件地址和FTP登录凭证的安全，它们使用了Rijndael算法和加密。

　　但是我们知道，这些加密的数据并不一定安全，特别是解密的部分写在了笔者能够反编译的代码里。

　　下面这张图是Decrypt(解密)方法，它会接收两个字符串参数：encryptedBytes和secretKey。这个安全密钥恰好是硬编码字符串HawkSpySoftwares。

　　正如提到的那样，该键盘记录器使用了Rijndael算法，安全密钥用了Unicode字符串“099u787978786”进行加盐，也是硬编码。

　　处于好奇，笔者**了这部分代码，简单修改适应后，在MS Visual Studio里面去进行编译。当然，最后笔者应该是解密成功了(待验证)。

　　最后，笔者拿着邮箱认证信息去登陆尝试。

　　这些似乎是感染系统上的电子邮件地址。所以笔者检查了邮件设置，结果发现了意外之喜!发送到这个邮箱的电子邮件会自动转发到黑客的Gmail账户里。你可以在下面截图里看到黑客的Gmail地址。

　　也许黑客知道HawkEye容易被破解，所以为了保护他们自己的电子邮件认证信息，就劫持了一个无辜的电子邮件账户作为初始的接收器，最后它会把收到的内容统统转给黑客的真实电子邮件地址。

　　最终，笔者把受害的电子邮件帐户还给了失主，并为他们修改了密码，移除了黑客的电子邮件重定向设置。

　　如文中所写的，笔者也收到了包含CVE-2012-0158的exp附件，里面是同一款键盘记录器，但是却配置了另一个电子邮箱账户作为窃取数据的初始接收邮箱。

　　攻击中的这两个漏洞虽然已经比较早了，但是仍广泛用于电子邮件攻击之中，这里建议读者更新好补丁，使用好相应的杀软，从而防御黑客的攻击。

　　培养专业的网络安全人才，

　　成就优秀的安全“大牛“

　　QQ交流群：204528261

笔者记录器键盘黑客信息

上一篇：steam手机版在哪下最新版，steam手机版在哪下
下一篇：steam怎么退款预购游戏(steam预购怎么退款申请退款)

相关推荐

包含steam万圣节促销2021北京时间的词条: 是的，Steam2021年春节优惠促销期间为2021年2月12号凌晨2点开始，持续5天，于2月16号凌晨2点结束期间会有各种厂商会进行折扣，玩家们可以在此期间购...; 2023-05-14 06:11 薅羊毛

steam蒸汽平台什么鬼(steam蒸汽平台有什么游戏): Steam中国定名并推出quot蒸汽平台quot首批上线游戏达40款今天，完美世界在上海宣布Steam中国正式推出“蒸汽平台”，据steam蒸汽平台什么鬼了...; 2023-05-14 03:11 手机抢红包

steam账号注册人机验证过不去(steam为什么captcha响应无效): 1、因为人机验证是谷歌提供的功能，而我们的互联网不能访问谷歌，所以注册steam账号无法通过人机身份验证Steam平台是Valve公司聘请BitTorrentB...; 2023-05-14 00:13 九块九推荐官

steam万圣节促销2021只狼，只狼2020圣诞节steam打折力度: 　　d=====(￣▽￣*)b　　叮　　朋友们　　快到万圣节了呢??　　不知道同学们有没有　　什么特殊的过万圣节的方式呢　　Trickortreat　　st...; 2023-05-13 21:12 九块九推荐官

steam注册用户名为什么老不成功，steam注册用qq邮箱无效: 邮箱旨在向用户提供安全steam注册用qq邮箱无效，稳定steam注册用qq邮箱无效，快速，便捷的电子邮件服务采用高容错性的内部服务器架构，确保收发邮件通畅无阻...; 2023-05-13 18:11 薅羊毛

steam夏促，steam夏促和秋促哪个优惠大: steam夏促徽章猜谜活动攻略无法搜索steam夏促，只能自己从分类中找到玩家可以利用steam页面steam夏促的搜索功能快速找到，按下ctrl+F，搜索TH...; 2023-05-13 15:12 九块九推荐官

steam注册验证电子邮件打不开，steam验证您的电子邮件为什么一直进不去: 1、Steam注册邮件打不开steam注册验证电子邮件打不开的原因可能是因为邮箱的安全设置导致的，可以通过手机验证来解决首先，登录Steam官网，点击“登录”，...; 2023-05-13 12:11 九块九推荐官