关于6月7号MC模组木马的技术细节

如果你还不知道发生了什么，请看:

本文章主要目的为解析"Fractureiser"木马的技术细节，并提供事件的大致时间线。大部分内容来自于Github上的相关文章。如果你对这些内容不感兴趣，现在就可以划走了(

木马运作原理

为了绕过杀毒软件的检测，木马采用了多阶段伪装技术。在.jar文件中的木马并非完全体，而只是一个下载后续程序的脚本。木马的阶段可具体分为4种：

1. 第一阶段：此时木马处于休眠状态，寄生于被感染的.jar文件内，例如Minecraft模组和服务器插件。

   其实现方式为在程序的主类中添加一个带有木马代码的方法，并在静态初始化时调用方法。通俗来讲就是运行程序后木马将自动执行。

2. 第二阶段：当被感染的.jar文件被打开后，木马将进入活跃状态。其将会从IP地址85.217.144.130中下载一个名为dl.jar的临时程序。

   下载源的IP地址等数据经过混淆，方法为将一系列列表中的byte类型数据转化为实际用到的字符串。

3. 第三阶段：在下载完成后，dl.jar首先将会检查并避免重复感染。如果此为第一次感染，其则将从85.217.144.130中下载一个开机自启动的程序。程序的名称在Windows平台为libWebGL64.jar，在Linux则为lib.jar。

   如果无法连接85.217.144.130，dl.jar则假定此IP地址已经无效，并通过一个Cloudflare托管的网站获取新的IP地址。

4. 第四阶段：当上一阶段dl.jar下载的程序被启动后，其将用同样的方式在后台缓慢下载并执行client.jar，也就是包含真正恶意功能的，木马程序的完全体。

   注：在木马散布者的第一个C&C服务器地址(即85.217.144.130)被服务商屏蔽一段时间后，第四阶段下载的恶意程序由client.jar变为了另一款此前已知的木马：SkyRage，有关SkyRage的信息可自行查询，在此不再赘述。

因此，想要摆脱Fractureiser木马的危害，则必须同时删除最后的恶意程序，libWebGL64.jar，以及被感染的.jar文件。

client.jar的能力

激活状态下的client.jar(源代码内也被称作nekoclient)具有相当的危害性，具体能力：

• 窃取剪贴板信息，恶意替换加密货币地址

• 窃取Discord令牌，以及微软账号和Minecraft正版账号令牌

• 开机自启动，如果我没理解错的话，全自动更新自身代码

• 窃取几乎所有浏览器的登录凭证和Cookie，如：Steam，Epic账号登录凭证

• 扫描电脑硬盘，并将整个文件系统内全部.jar文件植入第一阶段木马

• 远程执行任意代码，并将被感染的电脑作为肉鸡发动DDoS攻击

• 自动将传递出被感染虚拟机的文件植入第一阶段木马，以此“逃出”虚拟机

精简版时间线

注：此段的所有信息直接来自于github.com/fractureiser-investigation/fractureiser/blob/main/docs/timeline.md。

2023.4-未知

木马被第一次散布，具体日期未知。

2023.6.1-2023.6.4

国外网友D3SL和其他人开始对木马展开调查，发现了由libWebGL64.jar发出的数据交换请求，确定了木马存在。为避免打草惊蛇，消息只在Curseforge等平台内部流通。

2023.6.7 0:40 UTC

调查团队确定了新版Better Minecraft整合包中含有恶意文件，并展开研究。

2023.6.7 3:38 UTC

木马散布者的一号C&C服务器(即85.217.144.130)被服务商屏蔽。

2023.6.7 4:40-4:57 UTC

调查团队确定了木马的散布时间极早，可追溯到5月，甚至4月。Modrinth管理团队对最近上传的模组进行了检测，没有发现木马。

2023.6.7 5:27 UTC

调查团队获取到了一份不完整的client.jar文件，确定其可偷取令牌。

2023.6.7 6:20-7:03 UTC

D3SL和调查团队的其他人完成了对完整版client.jar的研究。确定了其全部的恶意功能。

2023-06-07 14:05-14:20 UTC

dl.jar引用的Cloudflare托管域名更新了IP地址，但很快被屏蔽。通过解析IP地址(原文如此)，调查团队成功获得了无混淆的client.jar源代码。

2023-06-07 ~14:40 UTC

IP地址提供的无混淆client.jar很快被替换成原版，随后替换成SkyRage木马。一段时间后，其又变为Meteor Client。真的吗

2023-06-07 18:51 UTC

木马散布者的第二个C&C服务器地址(107.189.3.101)已被托管商屏蔽。

2023-06-08 05:11 UTC

Modrinth团队发布公告，确定10个月内所有被上传的模组没有感染木马。

额外链接

本文大部分技术信息的来源: github.com/fractureiser-investigation/fractureiser

可用于扫描Fractureiser木马的工具:

Windows: github.com/overwolf/jar-infection-scanner/releases

Mac/Linux: github.com/MCRcortex/nekodetector/releases