Counter-Strike1.6 是一款享誉全球的游戏,十多年前风靡全球,至今仍深受许多人的喜爱。然而,根据最新的安全研究反恐精英飞机有什么bug,现有 Counter-Strike1.6 服务器中有 39% 试图通过游戏客户端中的漏洞攻击玩家。
虽然《反恐精英》1.6 已经有将近 20 年的历史了,但它仍然拥有庞大的玩家群,催生了庞大的游戏服务器市场。服务器提供商不仅会向客户出租游戏服务器,还会提供促销服务,以提高客户游戏服务器的知名度。
在 Web 博士的一份新报告中,安全人员解释了开发人员如何构建恶意游戏服务器、利用游戏客户端中的漏洞、控制受害者加入 Belonard 木马僵尸网络以及推广其客户端的游戏服务器。在鼎盛时期,这个僵尸网络变得异常庞大,僵尸网络中的 5,000 个 Counter Strike1.6 服务器中约有 39% 攻击所有连接到服务器的玩家。
“通过这个模型,木马的开发者创建了一个大型僵尸网络,其中 CS1.6 个游戏服务器占了很大一部分,”Web 研究博士表示:“根据我们的分析,在Steam 客户端服务的大约 5,000 台服务器中,有 1,951 台处于 Belonard 木马的控制之下。这是所有游戏服务器的 39%。这种规模的僵尸网络通过推广服务器为 Belonard 木马开发人员提供了巨大的优势。为了经济利益,他们不断地宣传和攻击受害者以增加他们的权力。”
Belonard 木马
为了推广其客户的服务器,化名 Belonard 的开发者创建了大量恶意服务器,当受害者通过 Counter-Strike1.6 客户端连接时感染了 Belonard 木马。
为此,Belonard僵尸网络利用客户端远程命令执行漏洞,任何访问恶意服务器的玩家都会被安装木马程序。此攻击并非针对 Counter-Strike1.6 游戏客户端,所有 Counter-Strike 玩家都是此僵尸网络的潜在受害者。
“玩家启动Steam官方客户端并选择游戏服务器,一旦连接到恶意服务器,就会利用RCE漏洞将其中一个恶意库上传到受害者的机器上。根据漏洞类型,下载并执行以下两个库之一:client.dll (Trojan.Belonard.1) 和 Mssv24.asi (Trojan.Belonard.5)."
Belonard的攻击流程如下:
木马安装后会创建一个名为“Windows DHCP服务”的Windows服务,并使用ServiceDLL.dll加载C:\Windows\System32\WinDHCP.dll中的Belonard木马。
木马随后会替换游戏客户端中的文件,这些文件不仅会宣传攻击者的网站(包含恶意游戏客户端),还会强制受害者绑定到恶意服务器。当玩家尝试加入其他服务器进行游戏时,他们将被重定向到由Belonard木马控制的恶意游戏服务器。
“玩家开始游戏时,昵称会更改为可下载恶意游戏客户端的网站地址反恐精英飞机有什么bug,游戏菜单会显示VKontakte Counter-Strike的链接1.6超过 11,500 名订阅者的社区。” 对抗僵尸网络
与 REG.ru 域名注册商合作,Dr. Web 现在关闭了木马用来将玩家重定向到虚假游戏服务器的域名。防止新玩家受到攻击。
博士。 Web 还继续监视其他域的恶意软件,到目前为止,感染率似乎要慢得多。
但是,完全防止该僵尸网络死灰复燃的唯一方法是修补客户端中的漏洞。但由于《反恐精英》1.6 的制造商 Valve 已经多年没有更新它,因此它的高严重性错误在不久的将来很难修复。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/39-percent-of-all-counter-strike-16-servers-used-to-infect-players/