用于构建主要僵尸网络的反恐精英客户零日

  • A+
所属分类:未分类

Steam上全部39%的Counter-Strike 1.6游戏服务器被发现是恶意的。

Counter-Strike游戏服务器推广服务的所有者在Counter-Strike客户端中使用了多个零日来创建一个大型僵尸网络。 该网络由用于流行的在线多人游戏的假游戏服务器组成。

攻击者取得了相当大的成功。 据Web博士称,在最近的一项分析中,在网上看到的所有现有Counter-Strike 1.6(CS 1.6)游戏服务器中,有39%被发现实际上是恶意的。

根据其所有者Valve的说法,全球有3亿名反恐精英玩家,这是第一人称射击游戏,其中恐怖分子团队试图发动攻击,反恐怖主义者试图阻止它。

虽然Counter-Strike 1.6是一个老版本,多年来一直没有积极开发,但据研究人员称,使用官方CS 1.6客户的玩家数量在任何时候都可以在线平均达到20,000个客户。 因此,这仍然是网络犯罪分子发展其邪恶活动的肥沃土地。

作为背景,玩家可以选择购买专用的反恐精英服务器,这样他们就可以在云中拥有专用于自己游戏玩法的处理器资源 - 这样可以减少延迟并提供比用户在玩游戏时更高的可靠性。典型的家庭互联网连接 这些私人游戏服务器的所有者也可以选择托管其他玩家,因此销售和租赁游戏服务器已成为家庭手工业的一部分。 游戏服务器的所有者经常试图通过提供各种特权来利用他们的平台,例如防止禁止,特殊“皮肤”和化妆品,获得特殊武器等等。

因此,随之而来的是游戏服务器推广和广告市场。

“例如,提高服务器一周的排名成本约为200卢布[3美元],这并不多,但大量买家使这一策略成为一个相当成功的商业模式,”研究人员本周的一篇文章中解释道。

一个服务器运营商,通过“Belonard”手柄,一直在向私人服务器所有者出售促销服务 - 同时利用反恐精英客户零日来向游戏玩家提供恶意木马。

据研究人员称,Belonard在Counter-Strike客户端使用两个以前未知的远程代码执行(RCE)漏洞来传播自定义木马。

“一名玩家启动官方Steam客户端并选择一款游戏服务器,”研究人员表示。 “在连接到恶意服务器时,它会利用RCE漏洞,将恶意库上传到受害者的设备。 根据漏洞的类型,将下载并执行两个库中的一个:client.dll(Trojan.Belonard.1)或Mssv24.asi(Trojan.Belonard.5)。“

该公司没有发布有关漏洞的详细信息,但确实进一步解释了攻击链,并指出该木马创建假的Valve游戏服务器(不要与刚才讨论过的私人服务器混淆),这些服务器被设计为具有“低ping”。 ”

在基于服务器的游戏中,计时是关键,就像Counter-Strike这样的第一人称射击游戏,“低ping”意味着玩家客户端和游戏服务器之间的通信延迟时间更短。 这反过来又转化为更流畅的游戏玩法,让玩家更具反应性和竞争力。

在Counter-Strike中,玩家要么自动与最好的公共,阀门托管服务器配对,ping率最低,要么他们可以手动选择一个。 有帮助的是,CS 1.6客户端向玩家显示可用服务器列表及其ping速率。 特洛伊木马利用这一点来吸引受害者。

“一旦在系统中设置,Trojan.Belonard将取代游戏客户端中可用游戏服务器的列表,并在受感染的计算机上创建代理以传播木马,”该公司解释说。 “作为一项规则,代理服务器显示较低的ping,因此其他玩家将在列表的顶部看到它们。”

从客户端的可用平台列表中选择(或匹配)其中一个极具吸引力的低ping代理服务器后,播放器将被重定向到恶意服务器,用户的计算机将感染Trojan.Belonard。 反过来,新感染的计算机开始进一步传播木马。

根据Web博士的分析,在官方Steam平台提供的5,000台服务器中,有1,951台是由Belonard木马创建的假代理服务器 - 相当于所有游戏服务器的39%。

这一切的重点是什么? 当然是经济收益。

“这种规模的网络允许该木马的开发者推广其他[合法,私人]服务器以获取资金,并将其添加到受感染游戏客户端的可用服务器列表中,”该公司解释说。

根据Twitterverse的报道,僵尸网络已被破坏。 但是,如果缺陷未得到修补,类似的威胁总是可能即将到来。 Threatpost已与Counter-Strike所有者Valve联系,了解漏洞,并将根据任何补丁信息或时间表相应更新此帖子。

不要错过我们的免费实时 Threatpost网络研讨会 ,“探索HackerOne和GitHub的15大常见漏洞”,于3月20日星期三,美国东部时间下午2点。

漏洞专家Michiel Prins是网络研讨会赞助商HackerOne的联合创始人,GitHub的应用程序安全工程经理Greg Ose将加入Threatpost编辑Tom Spring,讨论当今软件中最常见的漏洞类型,以及它们对于什么样的影响。组织如果被利用。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: