【cf好号和密码大全真的】从CF活动助理到系统扒手

前言

网络游戏的辅助、辅助类工具一直受到部分玩家的喜爱。但是，其中很多软件存在扰乱游戏公平、操纵游戏数据等问题，损害了游戏运营者和游戏秩序遵守者的利益，是对游戏企业、运营者造成打击的对象。正是因为这是比较灰色的地带，所以这些工具都是由个人或小团队开发和维护的，可以说鱼龙混杂。追求非法利益的开发者——作为游戏辅助传播病毒木马和各种恶意程序，甚至有很多机会窃取游戏账户设备。今天要提到的“CF活动助手”就是其中之一。

CF活动支持分析

CF活动助理是热门游戏助理，支持多种功能。这是官方网站的介绍，包括“最新活动通知”、“一键收到活动礼物”、“战绩、消费、仓库查询”功能、“永久免费”等。看起来是个不错的补品

图1。官网的辅助功能介绍

通过官网的用户实时统计，可以发现，每天用户IP数为70000，PV数已经达到12万人，这从一个侧面说明了受到用户的喜爱。

图2。CF活动助理的用户数

图3。CF活动助手界面

CF活动助手在及时跟进游戏运营商推出的活动的同时，为了确保“查询功能”界面的有效性，可以在启动时通过云下拉配置获得自己执行所需的配置信息。使用的云配置信息地址如图4所示。

图4。程序中使用的云控制地址

图5。关于程序官网的加密云控制

解密云控制配置后，删除与程序相关的配置信息后，提供检测安全软件、下载和运行远程程序的功能。

图6。安全软件进程名称配置字段

图7。远程下载程序配置字段

其中下载文件名为' QMBro和' QMBrow提前分别发出“QQ空间广告刷”病毒和“Steam盗匪”的文件。“中间”是下载木马。

1.下载者特洛伊木马

特洛伊木马启动后，对远程地址的下载请求将主动启动，并将多个程序下载到本地运行中。在URL链接中，所有这些文件都是。以txt结尾，但实际上大多数是可执行程序，包含驱动程序(SYS)、动态链接库程序(DLL)等，修改服务器控制器可能会导致某些功能丢失。

图8。下载撷取套件

另外，该木马还会同时发布关于中毒机器的相关信件

息上报给服务端用以统计。

2. Steam盗号器

盗号器启动后会结束正在运行的"Steam"客户端，之后通过枚举磁盘文件方式找到Steam客户端安装路径

图9. 结束Steam进程

图10. 释放盗号模块

找到Steam客户端安装路径后，会向路径内释放名为IPHLPAPI.dll的库文件用作DLL劫持，这样Steam客户端在下次启动时会加载该DLL文件。

图11. 盗号模块注入Steam进程

该DLL一旦被加载，便会通过hook方式挂钩S模块的4处位置：分别为"UserNameEdit"、"密码"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode"，如下：

图12. 盗号模块寻找hook点

图13. 待拦截的控件名称

如此一来，每当用户通过输入账号密码的方式登录Steam的时候，劫持了客户端的DLL同时也会窃取这份账号和密码。

3. "QQ空间广告刷手"病毒

病毒运行后，会通过QQ本地认证接口取到SKey，之后带Skey可跳转全线QQ产品，病毒会选择跳转QQ空间和兴趣部落，在非用户自愿的情况下，发布广告。

图14. 刷QQ空间说说

图15. 刷"兴趣部落"评论

实际发布内容如下图所示：

图16. 类似广告内容

火爆的Steam盗号

自"绝地求生"在国内爆红之后，针对Steam的盗号产业链发展得可谓异常迅猛，不只这一款辅助，我们还发现了大量各种针对steam的盗号攻击。

号码如何被盗？

目前流行的盗号方式大体可分为三类：

1. 钓鱼页面，骗取账号密码

通过伪装成相似度极高的"活动页面"诱骗受害者输入账号密码来领取所谓的"礼包"或"CDKEY"，而一旦输入这些信息，信息便会被发送到盗号者的"箱子"中存储起来，后续被打包转卖或者洗劫。

图17. 伪造的Steam钓鱼页面

2. 曲线救国，利用账号找回功能盗取账号

账号找回功能是指在用户一旦忘记原有密码时，平台方通过其预先绑定的邮箱地址发送"凭证"，用户以此即可重置其密码。一般来说，此类功能的设计原则，是基于认为账号所使用的注册邮箱持有者是可信的——即，能查看注册邮箱内容的人，可以被信任为就是账号主人本人。但由于腾讯本地统一认证接口的存在，以上这一套信任逻辑就变得不再可靠。

图18. Steam平台发送的密码重置凭证

腾讯所提供的这套接口，本身是为了方便用户登录其全线产品所设计的一套机制。但由于没有对调用者进行校验，所以任何在用户计算机中运行的程序都可以调用从而拿到SKey（认证Token），如果用户使用了QQ邮箱绑定其Steam账号，那攻击者通过在Steam平台主动发起"密码找回"，之后通过Skey在受害者的邮箱中取到"凭证"从而重置密码，更进一步可以修改掉受害者的Steam绑定邮箱，使得受害者无法再找回其账号。

常见的有以"XX变声器"、"XX加速器"命名的"撸号器"，通过聊天工具、邮箱方式进行传播。

图19. 通过邮箱传播的Steam撸号器

3. 对登录器下手，直接获取账号密码

前文所述的"CF活动助手"即为以"DLL劫持"方式注入Steam登录程序，通过hook相应的控件处理逻辑从而偷取受害者登录账号及密码，而这种方式非常隐蔽，受害者一时很难察觉，同时也存在盗号器以"远线程"注入方式盗取受害者账号密码，其中比较常见的有：

1) DLL劫持，位于Steam安装目录下名称IPHLPAPI.DLL

2) 进程注入，释放模块位于Steam安装目录名称为cuic.DLL

被盗账号会被如何处理？

受害者的账号最终流向，不外乎是以下几种：

1. 账号内有高价值虚拟财产，会被转移后卖掉。

2. 账号安全预留信息可改且价值较高的，修改信息后转手当做高价值黑号卖掉（几元到几百元不等）。

3. 账号价值较高且盗号者自己对账号内游戏感兴趣的，盗号者留作自用（开挂）。

4. 其余价值较低账号，打包出售。最后还是流到"上号器"号商手里。

图20. Steam黑号出租（上号器）

图21. Steam黑号圈子

图22. Steam黑号交易

如何避免号码被盗？

1. 尽量避免使用第三方辅助软件。

2. 无论是游戏账号还是邮箱账号，尽可能启用多重安全机制（如手机动态口令app等）。

3. 在非可信环境下（如网吧）避免使用自己的游戏账号。

4. 360安全卫士具备"游戏账号保护"功能，在开启情况下可有效阻止游戏号码被黑客窃取。

图23. 360安全卫士拦截威胁程序对Steam客户端的注入操作