Steam盗号木马分析与防御指南

一、攻击概述

本文分析了一种针对Steam账号的盗号木马，该木马不仅窃取Steam账号密码，还具备以下特点：

• 通过QQ邮箱重置Steam密码（如果受害者电脑已登录QQ且邮箱与Steam绑定）
• 使用永恒之蓝(EternalBlue)漏洞进行内网传播
• 采用双星(DoublePulsar)后门植入技术
• 具备C2(命令与控制)服务器通信能力

二、木马分析

1. 初始感染向量

• 通过伪装软件诱导用户下载执行
• 使用"更换图标免杀"技术逃避杀毒软件检测
• 包含大量.fne格式文件作为混淆手段

2. 信息窃取功能

• 记录Steam账号密码输入
• 检查已登录的QQ客户端
• 通过QQ邮箱尝试重置Steam密码（无手机令牌时）

3. 网络行为分析

• 木马会连接C2服务器(IP对应端口8000)
• 通信内容包括：
  • 受害者登录IP
  • 版本信息
  • 控制指令
• 定期请求服务器检查新指令

4. 横向移动能力

木马下载并执行永恒之蓝攻击脚本，包含以下组件：

Eternalblue-2.2.0.exe
Doublepulsar-1.3.1.exe
Eternalromance-1.4.0.exe

攻击目标包括：

• Windows 7/2008 R2 (WIN72K8R2)
• Windows XP
  攻击架构覆盖x86和x64系统

三、攻击技术细节

1. 永恒之蓝利用

攻击脚本关键参数：

Eternalblue-2.2.0.exe --TargetIp %a% --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12

2. 双星后门植入

Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll --DllPayload dll\64.dll

3. 攻击流程

1. 扫描内网445端口(SMB服务)
2. 利用永恒之蓝漏洞获取系统权限
3. 通过双星后门植入恶意DLL
4. 建立持久化通道

四、C2基础设施分析

攻击者使用存在漏洞的HFS (HTTP File Server) 2.3c及以下版本作为C2服务器：

• 存在远程代码执行(RCE)漏洞
• 已发现2400+次下载记录
• 通过8000端口进行通信
• 可执行以下操作：
  • 下载额外payload
  • 上传窃取的信息
  • 发送控制指令

五、防御措施

1. 用户防护

• 仅从Steam官方平台下载软件
• 启用Steam手机令牌二次验证
• 使用独立邮箱绑定Steam账号
• 安装并更新杀毒软件
• 避免在游戏电脑上长期登录QQ

2. 系统防护

• 及时安装系统补丁，特别是MS17-010(永恒之蓝漏洞补丁)
• 关闭不必要的445端口
• 使用网络防火墙限制出站连接
• 定期检查异常网络连接

3. 企业防护

• 部署终端检测与响应(EDR)解决方案
• 实施网络分段，限制SMB协议传播
• 监控异常内网扫描行为
• 建立安全更新机制，确保漏洞及时修补

六、事件响应建议

1. 发现感染后立即断网
2. 更改所有相关账号密码（特别是与Steam绑定的邮箱）
3. 使用安全工具全面扫描系统
4. 检查内网其他设备是否被感染
5. 考虑重置受影响的系统

七、技术取证要点

1. 网络取证：

• 检查异常8000端口的出站连接
• 分析wireshark捕获的流量，查找rj.txt等特征

2. 主机取证：

• 检查临时目录中的.fne文件
• 查找永恒之蓝相关进程(Eternalblue*.exe)
• 检查lsass.exe的异常模块加载

3. 内存分析：

• 查找双星后门特征
• 分析异常DLL注入行为

通过以上分析和防护措施，可以有效防范此类Steam盗号木马的攻击。