分析一个steam假入库行为，附带相关恶意样本

0x00、前言

朋友发来一个图片，说自己买了某宝上steam激活sdk，结果客服发过来一个教程让他下载游戏，想问问我有没有问题。

0x01、看了图片后立刻来了兴趣。

命令很简单，先是IRM远程访问，然后IEX执行。

手动访问了一下cdk.yesilovemyhome.com，发现跳转steam官方商城了https://store.steampowered.com/。

已知此处powershell的irm的功能，是类似linux的curl一样的远程访问工具，那么为什么会跳转steam官方商城呢？

立刻考虑目标网站大概率是判断了User-Agent头，如果是Powershell的头就能访问到目标页面，但是浏览器头就自动跳转steam官方商城。

0x02、分析跳转逻辑

首先验证猜想。

开启抓包并访问目标地址。发现在使用浏览器UA头的情况下，301跳转到Steam官方商城。

尝试修改UA头，首先百度了一个UA头放上去，发现竟然还是301重定向。

于是使用本办法，Powershell中运行，获取UA头

irm tool.lu/useragent

User-Agent：Mozilla/5.0 (Windows NT; Windows NT 10.0; zh-CN) WindowsPowerShell/5.1.19041.4046

替换UA头后重新访问，发现跳转到一个html页面。既然是IEX执行了，那么就搜索.ps1看看这个页面中有哪些powershell脚本，发现从http://cdk.yesilovemyhome.com?ak=1下载了a.ps1

0x03、分析样本

访问http://cdk.yesilovemyhome.com?ak=1，分析样本a.ps1（https://github.com/richard0day/Malicious-sample/blob/main/a.ps1），样本附在这里，感兴趣的可自行分析。

看注释，这个作者也是不知道从哪抄的（也有可能是被人抄的，笑）

继续分析，发现远程加载两个文件，看url使用的是阿里云的对象存储

两个样本kb250irm.zip（https://github.com/richard0day/Malicious-sample/blob/main/kb250irm.zip）和hiddump.txt（https://github.com/richard0day/Malicious-sample/blob/main/hiddump.txt）

分析kb250irm

发现释放文件Steamless.CLI.exe，.Net编写，沙箱分析发现是github上的一个项目（https://github.com/atom0s/Steamless），是一个steam的DRM移除器，可以移除steam sdk中的DRM。

分析hiddump.txt

file一下，发现文件是个windows的动态链接库文件（dll）

直接丢沙箱（https://s.threatbook.com/report/file/957887ea72d5344e6d8f3fe70139cd40c291ad79fc41dc0d91d5f85c4f8ed384）

0x04、结束

文件名为hid.dll，释放目录为steam文件夹。询问朋友是否已运行命令，朋友说运行了。

建议朋友可以先删除steam里的 hid.dll 文件，然后全盘杀毒，实在不放心的话，就卸载steam再重装。