惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
SegmentFault 最新的问题
人人都是产品经理
人人都是产品经理
Blog — PlanetScale
Blog — PlanetScale
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Cisco Talos Blog
Cisco Talos Blog
Spread Privacy
Spread Privacy
Scott Helme
Scott Helme
C
CXSECURITY Database RSS Feed - CXSecurity.com
S
Securelist
酷 壳 – CoolShell
酷 壳 – CoolShell
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
I
Intezer
博客园 - 叶小钗
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
雷峰网
雷峰网
量子位
Security Latest
Security Latest
P
Proofpoint News Feed
P
Privacy International News Feed
P
Palo Alto Networks Blog
D
DataBreaches.Net
大猫的无限游戏
大猫的无限游戏
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Google Online Security Blog
Google Online Security Blog
Webroot Blog
Webroot Blog
云风的 BLOG
云风的 BLOG
N
Netflix TechBlog - Medium
Vercel News
Vercel News
博客园 - 【当耐特】
C
CERT Recently Published Vulnerability Notes
Hugging Face - Blog
Hugging Face - Blog
月光博客
月光博客
Hacker News - Newest:
Hacker News - Newest: "LLM"
K
Kaspersky official blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Stack Overflow Blog
Stack Overflow Blog
AWS News Blog
AWS News Blog
博客园 - Franky
爱范儿
爱范儿
T
Tor Project blog
The GitHub Blog
The GitHub Blog
宝玉的分享
宝玉的分享
小众软件
小众软件
L
LINUX DO - 最新话题
Application and Cybersecurity Blog
Application and Cybersecurity Blog
W
WeLiveSecurity
SecWiki News
SecWiki News
L
LangChain Blog
I
InfoQ

博客园 - r1ch4rd_L

RAX3000Z路由器开启telnet功能并在互联网侧实现持久化控制 内网搭建KMS激活windows与office “Chrome139.0.7258.128版本GPU硬件加速错误导致UI加载失败”问题临时解决方案 明源相关漏洞自查清单(2025) 用友相关漏洞自查表(2025年) 亿邮相关漏洞总结 突发,广东广州电信把github地址解析成为127.0.0.1 Sysmon立大功,分析短进程,阻止右下角芒果TV弹框 分析一个Steam钓鱼骗局,附带相关恶意样本 辣鸡CSDN 捕获挖矿脚本分析 apache2.4.49RCE漏洞抓鸡(CVE-2021-41773_CVE-2021-42013) 多种shiro利用方式总结 【钓鱼可用】文件名反转字符串 SonicWALL SSL-VPN Web Server Vulnerable Exploit - r1ch4rd_L ES文件浏览器4.1.9.7.4任意文件浏览漏洞 SUID提权之python的os.setuid(0)提权 PHP-8.1.0-dev 后门命令执行 windows命令行工具导出系统日志——wevtutil 金蝶EAS接口未授权 (蓝队4月10日捕捉疑似0day)
分析一个steam假入库行为,附带相关恶意样本
r1ch4rd_L · 2024-02-28 · via 博客园 - r1ch4rd_L

0x00、前言

朋友发来一个图片,说自己买了某宝上steam激活sdk,结果客服发过来一个教程让他下载游戏,想问问我有没有问题。

0x01、看了图片后立刻来了兴趣。

命令很简单,先是IRM远程访问,然后IEX执行。

手动访问了一下cdk.yesilovemyhome.com,发现跳转steam官方商城了https://store.steampowered.com/。

已知此处powershell的irm的功能,是类似linux的curl一样的远程访问工具,那么为什么会跳转steam官方商城呢?

立刻考虑目标网站大概率是判断了User-Agent头,如果是Powershell的头就能访问到目标页面,但是浏览器头就自动跳转steam官方商城。

0x02、分析跳转逻辑

首先验证猜想。

开启抓包并访问目标地址。发现在使用浏览器UA头的情况下,301跳转到Steam官方商城。

尝试修改UA头,首先百度了一个UA头放上去,发现竟然还是301重定向。

于是使用本办法,Powershell中运行,获取UA头

User-Agent:Mozilla/5.0 (Windows NT; Windows NT 10.0; zh-CN) WindowsPowerShell/5.1.19041.4046

替换UA头后重新访问,发现跳转到一个html页面。既然是IEX执行了,那么就搜索.ps1看看这个页面中有哪些powershell脚本,发现从http://cdk.yesilovemyhome.com?ak=1下载了a.ps1

0x03、分析样本

访问http://cdk.yesilovemyhome.com?ak=1,分析样本a.ps1(https://github.com/richard0day/Malicious-sample/blob/main/a.ps1),样本附在这里,感兴趣的可自行分析。

看注释,这个作者也是不知道从哪抄的(也有可能是被人抄的,笑)

继续分析,发现远程加载两个文件,看url使用的是阿里云的对象存储

两个样本kb250irm.zip(https://github.com/richard0day/Malicious-sample/blob/main/kb250irm.zip)和hiddump.txt(https://github.com/richard0day/Malicious-sample/blob/main/hiddump.txt)

分析kb250irm

发现释放文件Steamless.CLI.exe,.Net编写,沙箱分析发现是github上的一个项目(https://github.com/atom0s/Steamless),是一个steam的DRM移除器,可以移除steam sdk中的DRM。

分析hiddump.txt

file一下,发现文件是个windows的动态链接库文件(dll)

直接丢沙箱(https://s.threatbook.com/report/file/957887ea72d5344e6d8f3fe70139cd40c291ad79fc41dc0d91d5f85c4f8ed384)

0x04、结束

文件名为hid.dll,释放目录为steam文件夹。询问朋友是否已运行命令,朋友说运行了。

建议朋友可以先删除steam里的 hid.dll 文件,然后全盘杀毒,实在不放心的话,就卸载steam再重装。