用于构建主要僵尸网络的反恐精英客户零日

Counter-Strike游戏服务器推广服务的所有者在Counter-Strike客户端中使用了多个零日来创建一个大型僵尸网络。 该网络由用于流行的在线多人游戏的假游戏服务器组成。

攻击者取得了相当大的成功。 据Web博士称，在最近的一项分析中，在网上看到的所有现有Counter-Strike 1.6（CS 1.6）游戏服务器中，有39％被发现实际上是恶意的。

根据其所有者Valve的说法，全球有3亿名反恐精英玩家，这是第一人称射击游戏，其中恐怖分子团队试图发动攻击，反恐怖主义者试图阻止它。

虽然Counter-Strike 1.6是一个老版本，多年来一直没有积极开发，但据研究人员称，使用官方CS 1.6客户的玩家数量在任何时候都可以在线平均达到20,000个客户。 因此，这仍然是网络犯罪分子发展其邪恶活动的肥沃土地。

作为背景，玩家可以选择购买专用的反恐精英服务器，这样他们就可以在云中拥有专用于自己游戏玩法的处理器资源 - 这样可以减少延迟并提供比用户在玩游戏时更高的可靠性。典型的家庭互联网连接 这些私人游戏服务器的所有者也可以选择托管其他玩家，因此销售和租赁游戏服务器已成为家庭手工业的一部分。 游戏服务器的所有者经常试图通过提供各种特权来利用他们的平台，例如防止禁止，特殊“皮肤”和化妆品，获得特殊武器等等。

因此，随之而来的是游戏服务器推广和广告市场。

“例如，提高服务器一周的排名成本约为200卢布[3美元]，这并不多，但大量买家使这一策略成为一个相当成功的商业模式，”研究人员在本周的一篇文章中解释道。

一个服务器运营商，通过“Belonard”手柄，一直在向私人服务器所有者出售促销服务 - 同时利用反恐精英客户零日来向游戏玩家提供恶意木马。

攻击链

据研究人员称，Belonard在Counter-Strike客户端使用两个以前未知的远程代码执行（RCE）漏洞来传播自定义木马。

“一名玩家启动官方Steam客户端并选择一款游戏服务器，”研究人员表示。 “在连接到恶意服务器时，它会利用RCE漏洞，将恶意库上传到受害者的设备。 根据漏洞的类型，将下载并执行两个库中的一个：client.dll（Trojan.Belonard.1）或Mssv24.asi（Trojan.Belonard.5）。“

该公司没有发布有关漏洞的详细信息，但确实进一步解释了攻击链，并指出该木马创建假的Valve游戏服务器（不要与刚才讨论过的私人服务器混淆），这些服务器被设计为具有“低ping”。 ”

在基于服务器的游戏中，计时是关键，就像Counter-Strike这样的第一人称射击游戏，“低ping”意味着玩家客户端和游戏服务器之间的通信延迟时间更短。 这反过来又转化为更流畅的游戏玩法，让玩家更具反应性和竞争力。

在Counter-Strike中，玩家要么自动与最好的公共，阀门托管服务器配对，ping率最低，要么他们可以手动选择一个。 有帮助的是，CS 1.6客户端向玩家显示可用服务器列表及其ping速率。 特洛伊木马利用这一点来吸引受害者。

“一旦在系统中设置，Trojan.Belonard将取代游戏客户端中可用游戏服务器的列表，并在受感染的计算机上创建代理以传播木马，”该公司解释说。 “作为一项规则，代理服务器显示较低的ping，因此其他玩家将在列表的顶部看到它们。”

从客户端的可用平台列表中选择（或匹配）其中一个极具吸引力的低ping代理服务器后，播放器将被重定向到恶意服务器，用户的计算机将感染Trojan.Belonard。 反过来，新感染的计算机开始进一步传播木马。

根据Web博士的分析，在官方Steam平台提供的5,000台服务器中，有1,951台是由Belonard木马创建的假代理服务器 - 相当于所有游戏服务器的39％。

这一切的重点是什么？ 当然是经济收益。

“这种规模的网络允许该木马的开发者推广其他[合法，私人]服务器以获取资金，并将其添加到受感染游戏客户端的可用服务器列表中，”该公司解释说。

根据Twitterverse的报道，僵尸网络已被破坏。 但是，如果缺陷未得到修补，类似的威胁总是可能即将到来。 Threatpost已与Counter-Strike所有者Valve联系，了解漏洞，并将根据任何补丁信息或时间表相应更新此帖子。

不要错过我们的免费实时 Threatpost网络研讨会 ，“探索HackerOne和GitHub的15大常见漏洞”，于3月20日星期三，美国东部时间下午2点。

漏洞专家Michiel Prins是网络研讨会赞助商HackerOne的联合创始人，GitHub的应用程序安全工程经理Greg Ose将加入Threatpost编辑Tom Spring，讨论当今软件中最常见的漏洞类型，以及它们对于什么样的影响。组织如果被利用。