全球反恐精英1.6服务器中有39%会攻击玩家

iso60001  2109天前

22.jpg

反恐精英1.6是一款全球知名的游戏,十多年前就风靡全球,现在依旧有很多人热衷于此。然而,根据最新安全研究显示,现有的反恐精英1.6服务器中有39%试图通过游戏客户端中的漏洞攻击玩家。

虽然反恐精英1.6已有近20年的历史,但仍然有一个庞大的玩家群体,催生大量游戏服务器市场。服务器提供商不仅会出租游戏服务器给客户,还会提供推广服务,提升客户游戏服务器的流行程度。

在Dr. Web的一份新报告中,安全人员解释了开发人员如何搭建恶意游戏服务器,利用游戏客户端的漏洞,控制受害者加入Belonard木马僵尸网络,并推广其客户的游戏服务器。在其最高峰时,这个僵尸网络变得异常庞大,5,000台反恐精英1.6服务器中约有39%都在僵尸网络中,它们会去攻击所有连接到服务器的玩家。

“通过这种模式,木马的开发者创建了一个大型僵尸网络,其中CS1.6游戏服务器占了相当一部分,” Dr. Web的研究表明:“根据我们的分析,在Steam客户端提供的大约5,000台服务器中,有1,951台是在Belonard木马的掌控中。这占全部游戏服务器的39%。这种规模的僵尸网络为Belonard木马的开发者通过推广服务器获取了巨大的经济利益,它们不停推广同时不停攻击受害者以加大自己的势力。”

Belonard木马

为了推广他的客户的服务器,一个别名为Belonard的开发人员创建大量了恶意服务器,当受害者通过反恐精英1.6客户端连接时,就会被Belonard木马感染。

为此,Belonard僵尸网络利用了客户端中的远程命令执行漏洞,任何访问恶意服务器的玩家都会被安装木马程序。这种攻击不是只针对反恐精英1.6的游戏客户端,反恐精英的所有玩家都是此僵尸网络的潜在受害者。

“玩家启动官方Steam客户端并选择游戏服务器,一旦连接到恶意服务器后,它就会利用RCE漏洞,将其中一个恶意库上传到受害者的机器上。根据漏洞的类型,将下载并执行两个库中的一个:client.dll (Trojan.Belonard.1) 以及 Mssv24.asi (Trojan.Belonard.5)。“

Belonard的攻击流程如下:

33.jpg

当木马安装后,将创建一个名为“Windows DHCP Service”的Windows服务,并使用ServiceDLL.dll去加载保存在C:\Windows\System32\WinDHCP.dll中的Belonard木马。

然后,木马将替换游戏客户端中的文件,这些文件不仅会推广攻击者的网站(含有恶意游戏客户端),还会把受害者强制绑定到恶意服务器。当玩家尝试加入其他服务器进行游戏时,他们将被重定向到Belonard木马所控制的恶意游戏服务器。

“当玩家开始游戏时,他们的昵称会被更改为可下载恶意游戏客户端的网站地址,而游戏菜单将显示指向VKontakte反恐精英1.6社区的链接,其中有11,500多名订阅者。”

打击僵尸网络

通过与REG.ru域名注册商的协调,Dr. Web现已关闭木马用于将玩家重定向到虚假游戏服务器的域名。防止有新玩家受到攻击。

Dr. Web还继续监控有关恶意软件的的其他域名,到目前为止,感染速度似乎降低很多。

但是,彻底防止此僵尸网络死灰复燃的唯一方法就是修补客户端中的漏洞。但由于反恐精英1.6的制造商Valve已多年没有更新,其中的高危漏洞近期内很难修复。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/39-percent-of-all-counter-strike-16-servers-used-to-infect-players/

最新评论

昵称
邮箱
提交评论