昨天筆者在刷小黑盒的時候看到了PUBG分區下許多用戶討論“在微信群自動接收文件導致賬號被誤封”,當時粗看標題,筆者認為是不法分子將外掛特徵碼藏在文件中導致反作弊軟件檢測並進行封禁。
但是想到戰眼反作弊一般不進行掃盤,並且看到了相關文件(即1.bat)的更多內容讓筆者消除了第一種猜想,但隨即而來的是更多疑問,什麼批處理文件(.bat)能夠做到下載後自動運行,難道是微信的嚴重缺陷導致?但如果是微信的漏洞,那早應該爆發更嚴重的電腦安全威脅而不是僅用於針對PUBG玩家群體。由於筆者以及與筆者一同遊玩的朋友並沒有被這次風波波及,筆者便沒繼續深究。
1.bat中所包含的全部內容
分析這個批處理文件的行為,簡單描述下,第一條指令讓這個文件在運行時不會輸出任何錯誤信息;第二條是從一個騰訊雲的COS(對象存儲,可以理解為一個雲盤)中下載一個.TTF文件(鏈接已失效);第三條則是通過rundll32執行剛剛下載的神秘文件;第四條則是文件本身的自銷燬命令。
1.bat的行為檢測
這本身是一個很簡單的批處理文件,什麼?你問批處理文件是什麼,你可以簡單理解為一個文件,在收到執行命令後讓電腦逐條執行所包含的命令。那什麼情況下批處理文件會被運行呢?1)電腦用戶手動運行 2)被不法分子利用系統漏洞遠程執行。正如前文所述,如果微信真的存在嚴重的系統漏洞會讓批處理文件遠程運行,那會爆發更嚴重的,可以說是全球級的網絡安全威脅,如果只是用來針對PUBG玩家群體,豈不是完全吃力不討好?因此筆者猜想大部分中招的玩家都選擇了運行這個文件。
那究竟是什麼文件讓玩家會主動運行?為了驗證猜想,筆者選擇繼續溯源。
讓我們從最有可能藏毒的神秘.ttf文件入手,當筆者寫這篇文章時,批處理文件中所包含的鏈接已經失效了,筆者便在一些網絡安全沙盒網站上搜索相關文件樣本,功夫不負有心人,終於在微步雲沙盒中找到有相關樣本的提交,翻看所有行為分析可以確定它們沒有利用漏洞使自身具備自動運行的能力,基本可以排除批處理文件被遠程執行的說法。但在當今計算機普及,大部分電腦用戶應具備不運行來路不明的文件的常識,那為什麼還會有那麼多玩家中招呢?
1.bat下載的ttf(字體文件)行為分析
為了一探究竟,作者選擇在沙盒(一種計算機虛擬化技術,通常用來測試計算機病毒)中運行該文件,得到了如下耐人尋味的運行結果。
運行結果
英語小課堂
客戶名稱?還要登錄?筆者認為,本次“誤封”風波除去少數一些可能手賤下載文件後就運行的老哥,有些被“誤封”的人可能並不是那麼無辜哦
當然這只是筆者的一個猜測,筆者也只是一個電腦技術業餘愛好者,本篇文章寫的不正確的地方歡迎各位指出
(封面來自小黑盒社區)