多玩魔盒(多玩魔盒怀旧服)

一.事件概述

“暗流”一家作为国内活跃僵尸网络的领头羊，专注于流量暗刷的攻击。曾经在国内某知名软件公司的“正规”外衣保护下生活躲藏多年。毒霸的安全团队在2018年10月底率先挖掘并披露，其幕后黑产团伙显然没有轻易放弃。所谓“百足虫不死”，最近又被毒霸“捕风”的威胁感知系统监测到了。

通过追查分析，我们发现这个“暗流二代”家族通过多玩游戏公司旗下的“游戏盒子”客户端升级通道传播感染，其启动托管流程的数字签名为“广州玩盒子科技有限公司”。游戏盒子作为公司知名的游戏辅助软件，包含了英雄联盟盒子、DNF盒子、坦克世界盒子等多个辅助客户端从监测数据来看，无一幸免，产品升级渠道全部植入“暗流二号”木马家族。除了升级渠道、数字签名等强有力的关联证据外，暂时没有线索表明“暗流二号”木马家族与“多玩游戏”有直接操纵和利益关系。这个病毒传播事件是厂商内部操作还是外部黑产攻击尚无定论，所以我们暂定这个安全事件为“疑似软件供应链攻击”。

从我们“捕风”系统的追溯数据来看，本次“暗流二号”病毒传播活动最早于2019年1月17日开始小范围测试，随后扩展到所有游戏盒子客户端的升级渠道，影响范围迅速扩大。预计全网感染用户数百万。作为春节后监测到的首起高危安全事件，此次“暗流二号”病毒传播活动已尽快启动安全应急处理流程。目前正在积极与厂家联系，告知相关细节。更多结论请等待“多玩游戏”官方调查回复。

二、技术分析

1.升级渠道污染

这个“暗流二代”暗刷木马家族的母体是通过“多玩”的游戏盒子客户端进行升级、分发和安装的。从数据包监测分析，服务器的升级配置文件均为污染注入，核心模块为“UpdateServer.exe”。运行后注册为系统服务启动项，负责后续云控制模块加载；另外，空 shell程序“Notify.exe”作为主机进程注入暗刷模块。以上文件的数字签名均为多游戏“广州Playbox科技有限公司”。

2.启动云控制插件。

核心模块“UpdateServer.exe”注册为系统服务并启动后，首先检查当前系统环境，防止虚拟机运行、包捕获检测或调试分析。然后检查更新目录中的核心文件:“UpData.db”、“Notify.exe”和“info.db”。解密(RC4+ZLib)“updata . db”模块并通过内存加载，调用其导出函数“update_init”。

从“UpData.db”模块中提取的模块原始文件名为“common.dll”。作为“暗流II”变种的核心云控制模块，启动循环线程，负责环境检测、云控制请求以及工作插件加载器的注入和启动。其中，云控请求包主要包括两种，一是更新云控服务器的信息，二是获取插件的运行参数信息，比如暗刷URL配置。工作插件加载程序是“info.db”文件。解密后注入到pending 空 shell进程“Notify.exe”中。父进程中配置信息的内存地址通过命令行参数传递，方便后续插件读取和分析。

3.启动暗刷插件

“info.db”工作插件的加载器注入执行后，首先通过命令行参数获取父进程内存中存储的参数配置信息。验证后启动工作线程，通过联网更新真实函数插件，通过内存反射加载。插件模块的内容被加密并缓存在“user.db”文件中。加密插件的函数导出接口为“FuncA”和“FuncB”，其中“FuncA”负责解密参数XML配置信息，“FuncB”根据参数配置执行加密任务。

插件的暗刷功能支持相对完善灵活，与之前《暗流》家族报告披露的插件代码基本一致，加强了对安全软件、流量监控、游戏等进程检测的规避策略。暗袭针对的网站也非常复杂，涉及视频、汽车、美妆、电商、新闻、移动等各种类型的厂商。请参考之前的披露报告，在此不再赘述。

三。国际奥委会附录

哈希:

6a 6708 b0b 328 e83c 75475813031 bec 85

CB 4312825 fad 06 b 693 DC 99 EFA 51200 c 7

7991 c 6348d 094 f6dd 131 BF 16 cc 2 FEC 52

413907237 a 6480 BD 3590 ea 516002 b9fa

be 029 af 532636359 db 97a 24116 CB 85e 5

C & amp丙:

data.3515w.com

tt.we2021.com

gg.we2021.com

211.110.66.106

*作者:安全豹，请注明来自FreeBuf.COM。