steam官网入口注册,正版steam官网入口注册
手机抢红包 2023-05-07 21:12 135 浏览
导语
这个故事要从一次垃圾邮件攻击事件说起steam官网入口注册,下图是一个笔者从某封垃圾邮件里提取的可疑附件。至于下面这蹩脚的英语,这也是值得steam官网入口注册我们注意的地方。
上图的附件使用steam官网入口注册了“.doc”作为后缀,但它其实是RTF(富文本)格式的文件。该文件包含了一个针对性的RTF栈溢出exp,它利用了CVE-2010-3333,也就是在微软Word RTF解析器在处理pFragments时会产生的一个漏洞。然而,该漏洞在五年前就已经修补了。
正如你在上图中看到的那样,该exp和shellcode做了混淆来逃避杀软的检测。经过各种提取整理解密之后,笔者发现该shellcode会从volafile.io上面下载文件来执行。
下载下来的这个文件是微软.net Win32可执行文件,简单hex dump了这个文件,笔者发现了HawkEyekeylogger字符串。
在谷歌后发现,它指引笔者找到了开发该键盘记录器的官网。在网站里,他们列出了该键盘记录器一些的特性。
在笔者动态的分析中,该键盘记录器会把自身**一份到Application Data(%appdata%)文件夹,并且将**后的文件命名为WindowsUpdate.exe。同时,它在注册表里设置了开机启动,以实现其持续性攻击。
并且,它还会在受感染的系统里释放以下文件:
%Temp%\Sysinfo.txt – 释放的恶意软件exe路径
%Appdata%\pid.txt –恶意软件进程ID
%Appdata%\pidloc.txt – 恶意软件进程exe路径
接着,笔者观察到该键盘记录器试图去checkip.dyndns.com,获取受感染系统的外网IP。这个合法的网站经常被恶意软件利用,拿来确定受感染系统的IP地址。
过了一会儿,笔者监控到了SMTP流量,发现了受感染系统发送信息给黑客email的动作。
里面的信息可能包括:
计算机名
本地日期和时间
系统语言
操作系统
平台
操作系统版本
内存
.net框架
系统权限
默认浏览器
防火墙
内网IP地址
外网IP地址
恢复邮件设置和密码
恢复浏览器和FTP密码
正如前面笔者提到的,这款键盘记录器是由.net编译的。所以,笔者接下来需要反编译这个可执行文件。笔者使用了一个开源的.net反编译工具ILSpy来完成这个任务。
笔者反编译出了源代码,并将其与官网的特性列表进行比较,结果表明是完全符合的。笔者发现其代码有以下的特点:
一个剪贴板记录器
一个浏览器,FTP和邮件客户端密码记录器。它也会去尝试窃取密码管理器证书和windows密钥。
蠕虫类的USB感染程序,可以让记录器感染扩散到其他windows机器。
它也针对一些Steam游戏平台的用户,通过删除配置和登录数据文件,用户会强制再次登录。这就给了键盘记录器窃取用户Steam认证的可乘之机。
窃取的信息里包括桌面截图,它们会被发送到黑客的邮箱,或者键盘记录器里配好的FTP服务器上。
黑客貌似也会配置键盘记录器,通过HTTP将窃取的信息上传到PHP服务器上。但是奇怪的是,这里的代码留空了。
笔者在反编译时,发现最有趣的是一个C#的构造函数Form1()。这是键盘记录器储存配置的地方,但是为了确保黑客电子邮件地址和FTP登录凭证的安全,它们使用了Rijndael算法和加密。
但是我们知道,这些加密的数据并不一定安全,特别是解密的部分写在了笔者能够反编译的代码里。
下面这张图是Decrypt(解密)方法,它会接收两个字符串参数:encryptedBytes和secretKey。这个安全密钥恰好是硬编码字符串HawkSpySoftwares。
正如提到的那样,该键盘记录器使用了Rijndael算法,安全密钥用了Unicode字符串“099u787978786”进行加盐,也是硬编码。
处于好奇,笔者**了这部分代码,简单修改适应后,在MS Visual Studio里面去进行编译。当然,最后笔者应该是解密成功了(待验证)。
最后,笔者拿着邮箱认证信息去登陆尝试。
这些似乎是感染系统上的电子邮件地址。所以笔者检查了邮件设置,结果发现了意外之喜!发送到这个邮箱的电子邮件会自动转发到黑客的Gmail账户里。你可以在下面截图里看到黑客的Gmail地址。
也许黑客知道HawkEye容易被破解,所以为了保护他们自己的电子邮件认证信息,就劫持了一个无辜的电子邮件账户作为初始的接收器,最后它会把收到的内容统统转给黑客的真实电子邮件地址。
最终,笔者把受害的电子邮件帐户还给了失主,并为他们修改了密码,移除了黑客的电子邮件重定向设置。
如文中所写的,笔者也收到了包含CVE-2012-0158的exp附件,里面是同一款键盘记录器,但是却配置了另一个电子邮箱账户作为窃取数据的初始接收邮箱。
攻击中的这两个漏洞虽然已经比较早了,但是仍广泛用于电子邮件攻击之中,这里建议读者更新好补丁,使用好相应的杀软,从而防御黑客的攻击。
培养专业的网络安全人才,
成就优秀的安全“大牛“
QQ交流群:204528261
相关推荐
- 包含steam万圣节促销2021北京时间的词条
-
是的,Steam2021年春节优惠促销期间为2021年2月12号凌晨2点开始,持续5天,于2月16号凌晨2点结束期间会有各种厂商会进行折扣,玩家们可以在此期间购...
-
2023-05-14 06:11 薅羊毛
- steam蒸汽平台什么鬼(steam蒸汽平台有什么游戏)
-
Steam中国定名并推出quot蒸汽平台quot首批上线游戏达40款今天,完美世界在上海宣布Steam中国正式推出“蒸汽平台”,据steam蒸汽平台什么鬼了...
-
2023-05-14 03:11 手机抢红包
- steam账号注册人机验证过不去(steam为什么captcha响应无效)
-
1、因为人机验证是谷歌提供的功能,而我们的互联网不能访问谷歌,所以注册steam账号无法通过人机身份验证Steam平台是Valve公司聘请BitTorrentB...
-
2023-05-14 00:13 九块九推荐官
- steam万圣节促销2021只狼,只狼2020圣诞节steam打折力度
-
d=====( ̄▽ ̄*)b 叮 朋友们 快到万圣节了呢?? 不知道同学们有没有 什么特殊的过万圣节的方式呢 Trickortreat st...
-
2023-05-13 21:12 九块九推荐官
- steam注册用户名为什么老不成功,steam注册用qq邮箱无效
-
邮箱旨在向用户提供安全steam注册用qq邮箱无效,稳定steam注册用qq邮箱无效,快速,便捷的电子邮件服务采用高容错性的内部服务器架构,确保收发邮件通畅无阻...
-
2023-05-13 18:11 薅羊毛
- steam夏促,steam夏促和秋促哪个优惠大
-
steam夏促徽章猜谜活动攻略无法搜索steam夏促,只能自己从分类中找到玩家可以利用steam页面steam夏促的搜索功能快速找到,按下ctrl+F,搜索TH...
-
2023-05-13 15:12 九块九推荐官
- steam注册验证电子邮件打不开,steam验证您的电子邮件为什么一直进不去
-
1、Steam注册邮件打不开steam注册验证电子邮件打不开的原因可能是因为邮箱的安全设置导致的,可以通过手机验证来解决首先,登录Steam官网,点击“登录”,...
-
2023-05-13 12:11 九块九推荐官
- 关于steam下载连接超时的信息
-
1、1连接超时可能是下载了补丁steam下载连接超时,但是没有更新导致的steam下载连接超时,所以无能怎么修改dns或者host加速都没有用2方法一在stea...
-
2023-05-13 09:11 手机抢红包
- steam交易链接在哪,steam交易链接在哪复制
-
1、1首先下载一个手机端的steamappsteam交易链接在哪,这一般是为steam交易链接在哪了保证steam账号安全必备的app,里面可以绑定手机令牌2除此之外还需要一个手机端的加速器,有很多...
- steam教育的各个步骤及基本要求,steam教育方面的经典著作
-
2爱和自由从这里你可以读到什么是爱steam教育方面的经典著作,什么是自由“孙瑞雪小学”中的“孙瑞雪”就是这本书的作者她积极倡导蒙台梭利教育steam教育方面...
-
2023-05-13 03:10 手机抢红包
- steam夏促2021有哪些,steam夏促免费游戏线索
-
下面为喜欢中世纪风格的玩家带来由玩家“翼骑的正义”分享的Steam夏促中世纪风格游戏推荐一骑马与砍杀2游戏本次打折也是到steam夏促免费游戏线索了一个适合入...
-
2023-05-13 00:12 九块九推荐官
- steam夏促之后还有什么打折,steam夏促有几次
-
马上就要过年steam夏促之后还有什么打折了置办年货的日子到steam夏促之后还有什么打折了厦门有个地方最近优惠可多了steam夏促之后还有什么打折!快...
-
2023-05-12 21:11 薅羊毛
- 一周热门
-
- 百度热搜
- 新浪热搜
- 1 树立大食物观
- 2 热 美国18岁女罪犯因颜值超高爆红
- 3 热 外交部发言人今天没打领带
- 4 小包裹折射大市场
- 5 中国最长的跨市“地铁”来了
- 6 1岁女婴铊中毒瘫痪 投毒者为大伯母
- 7 热 男童被狗咬18天后身亡 警方提级调查
- 8 西班牙帆船遭遇虎鲸猛撞
- 9 浙江辟谣60余名幼儿群体性流血
- 10 沸 未婚女性不能用精子库供精去父留子
-
热门文章
最新文章
随机文章
-
原神去衣物图片(原神女角色黄本子)2022-06-18 阅读(259688)
-
长弓燧龙胡桃(原神)免费(长弓燧龙胡桃神里绫华禁动漫天堂)2023-03-19 阅读(199566)
-
雷电将军被淦出液体,原神雷电将军被ⅹ2022-07-15 阅读(191416)
-
原神女角色黄本子,xman每日好图原神2022-08-12 阅读(164820)
-
关于原神八重神子正能量p图全光的信息2023-04-16 阅读(136236)
-
原神女角色去掉所有服装的图片(原神女人物去掉所有服装)2022-08-17 阅读(134903)
-
原神vicineko在哪个网站(优菈大战丘丘岩盔王vicineko资源)2022-07-31 阅读(118804)
-
原神魈空cp开车(原神变成小孩的空被各位)2022-06-17 阅读(112967)
-
原神女性角色去内无布料图片,原神诺艾尔去衣物图片xman2022-06-18 阅读(111053)
-
原神旅行者趴在雷电将军身上,原神当雷电将军推到了旅行者2022-09-01 阅读(109277)
-
古驰罪爱男士淡香水,古驰罪爱男士淡香水怎么样2024-05-15 阅读(3)
-
原神凝光肉身待客抬腿游戏,原神凝光肉身待客抬腿黄2024-05-15 阅读(5)
-
奢侈品品牌logo大全(奢侈品品牌logo大全图标)2024-05-15 阅读(2)
-
拜伦戴维斯,拜伦戴维斯球衣号码2024-05-15 阅读(3)
-
微信红包封面序列号免费领取生日快乐,微信红包封面序列号免费2024-05-15 阅读(3)
-
云元梦之星下载,云元2024-05-15 阅读(4)
-
2008年nba选秀大会视频,nba2008选秀2024-05-15 阅读(3)
-
武汉奢侈品包包回收(武汉奢侈品包包回收都是什么价钱)2024-05-15 阅读(3)
-
奈碧(奈碧是韩国什么档次)2024-05-15 阅读(3)
-
免费领现金红包提现的游戏,免费领现金红包2024-05-15 阅读(3)
- 标签列表
-