全球反恐精英1.6服务器中有39％会攻击玩家

反恐精英1.6是一款全球知名的游戏，十多年前就风靡全球，现在依旧有很多人热衷于此。然而，根据最新安全研究显示，现有的反恐精英1.6服务器中有39％试图通过游戏客户端中的漏洞攻击玩家。

虽然反恐精英1.6已有近20年的历史，但仍然有一个庞大的玩家群体，催生大量游戏服务器市场。服务器提供商不仅会出租游戏服务器给客户，还会提供推广服务，提升客户游戏服务器的流行程度。

在Dr. Web的一份新报告中，安全人员解释了开发人员如何搭建恶意游戏服务器，利用游戏客户端的漏洞，控制受害者加入Belonard木马僵尸网络，并推广其客户的游戏服务器。在其最高峰时，这个僵尸网络变得异常庞大，5,000台反恐精英1.6服务器中约有39％都在僵尸网络中，它们会去攻击所有连接到服务器的玩家。

“通过这种模式，木马的开发者创建了一个大型僵尸网络，其中CS1.6游戏服务器占了相当一部分，” Dr. Web的研究表明：“根据我们的分析，在Steam客户端提供的大约5,000台服务器中，有1,951台是在Belonard木马的掌控中。这占全部游戏服务器的39％。这种规模的僵尸网络为Belonard木马的开发者通过推广服务器获取了巨大的经济利益，它们不停推广同时不停攻击受害者以加大自己的势力。”

Belonard木马

为了推广他的客户的服务器，一个别名为Belonard的开发人员创建大量了恶意服务器，当受害者通过反恐精英1.6客户端连接时，就会被Belonard木马感染。

为此，Belonard僵尸网络利用了客户端中的远程命令执行漏洞，任何访问恶意服务器的玩家都会被安装木马程序。这种攻击不是只针对反恐精英1.6的游戏客户端，反恐精英的所有玩家都是此僵尸网络的潜在受害者。

“玩家启动官方Steam客户端并选择游戏服务器，一旦连接到恶意服务器后，它就会利用RCE漏洞，将其中一个恶意库上传到受害者的机器上。根据漏洞的类型，将下载并执行两个库中的一个：client.dll (Trojan.Belonard.1) 以及 Mssv24.asi (Trojan.Belonard.5)。“

Belonard的攻击流程如下：

当木马安装后，将创建一个名为“Windows DHCP Service”的Windows服务，并使用ServiceDLL.dll去加载保存在C:\Windows\System32\WinDHCP.dll中的Belonard木马。

然后，木马将替换游戏客户端中的文件，这些文件不仅会推广攻击者的网站（含有恶意游戏客户端），还会把受害者强制绑定到恶意服务器。当玩家尝试加入其他服务器进行游戏时，他们将被重定向到Belonard木马所控制的恶意游戏服务器。

“当玩家开始游戏时，他们的昵称会被更改为可下载恶意游戏客户端的网站地址，而游戏菜单将显示指向VKontakte反恐精英1.6社区的链接，其中有11,500多名订阅者。”

打击僵尸网络

通过与REG.ru域名注册商的协调，Dr. Web现已关闭木马用于将玩家重定向到虚假游戏服务器的域名。防止有新玩家受到攻击。

Dr. Web还继续监控有关恶意软件的的其他域名，到目前为止，感染速度似乎降低很多。

但是，彻底防止此僵尸网络死灰复燃的唯一方法就是修补客户端中的漏洞。但由于反恐精英1.6的制造商Valve已多年没有更新，其中的高危漏洞近期内很难修复。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/39-percent-of-all-counter-strike-16-servers-used-to-infect-players/