前言

Counter-Strike 1.6（CS1.6）已經(jīng)廉頗老矣，早已不復(fù)10年前的盛況，筆者也早就將CS 1.6與年少時(shí)美好的記憶封存在內(nèi)心的一個(gè)小盒子里了，沒(méi)想到“CS 1.6”這個(gè)名詞再次出現(xiàn)眼前是因?yàn)槎砹_斯殺毒軟件廠商Dr.Web的一份惡意軟件報(bào)告。

[[259548]]

報(bào)告指出39％的CS 1.6服務(wù)器已成為新型惡意軟件Belonard的傳播渠道。在筆者打CS 1.6的那個(gè)年代，只見(jiàn)透視、自瞄、加速、假冒sXe反作弊器、惡意插件、炸房等客戶端惡意手段橫行，而現(xiàn)在還有人拿服務(wù)器做文章，怎么回事？

服務(wù)器之殤

一般而言，CS 1.6服務(wù)器運(yùn)營(yíng)者會(huì)通過(guò)賣一些特權(quán)武器、屬性或者皮膚來(lái)取得一些盈利，一部分運(yùn)營(yíng)者自己來(lái)推銷服務(wù)器，還有一部分則向供應(yīng)商購(gòu)買服務(wù)器推廣服務(wù)。在支付了服務(wù)費(fèi)之后，運(yùn)營(yíng)者往往不知道他們的廣告是如何到達(dá)玩家處的，或者壓根就懶得管。

就是在你不管我也不管的狀態(tài)下，有一個(gè)名叫“Belonard”的開(kāi)發(fā)商采用了非法的推廣手段，其服務(wù)器通過(guò)遠(yuǎn)程代碼執(zhí)行（RCE）漏洞在玩家設(shè)備上安裝木馬程序，并使用他們的帳戶來(lái)推廣其他游戲服務(wù)器。該木馬在感染玩家設(shè)備后會(huì)下載惡意軟件以保護(hù)系統(tǒng)中的木馬并將其分發(fā)到其他玩家的設(shè)備。

Belonard共利用了6個(gè)RCE漏洞，2個(gè)存在于官方游戲客戶端（Steam正版），剩下4個(gè)來(lái)自盜版客戶端。通常這些惡意服務(wù)器通過(guò)很低的ping值吸引玩家進(jìn)入，進(jìn)入后玩家會(huì)被重定向到惡意服務(wù)器，玩家設(shè)備會(huì)通過(guò)而已服務(wù)器下載Trojan.Belonard，替換客戶端的可用游戲服務(wù)器的列表并在受感染的計(jì)算機(jī)上創(chuàng)建代理以傳播特洛伊木馬。Belonard通過(guò)這種模式創(chuàng)建了一個(gè)僵尸網(wǎng)絡(luò)，據(jù)分析Steam官方CS 1.6客戶端能夠搜到的約5000個(gè)服務(wù)器中，有1951個(gè)是由Belonard Trojan創(chuàng)建的，占總數(shù)的39％。

Trojan.Belonard由11個(gè)組件組成，并根據(jù)游戲客戶端處于的不同場(chǎng)景運(yùn)行。如果使用官方客戶端，木馬會(huì)通過(guò)惡意服務(wù)器利用的RCE漏洞感染設(shè)備，然后在系統(tǒng)中扎穩(wěn)腳跟，干凈的官方客戶端就是這么被感染的。如果用戶從惡意服務(wù)器所有者的網(wǎng)站下載受感染的客戶端，則在啟動(dòng)游戲后木馬就會(huì)植入系統(tǒng)中。

Belonard木馬的工作流程：

根據(jù)安全專家的說(shuō)法，Belonard的代理服務(wù)器“錯(cuò)誤”地將服務(wù)器游戲類型顯示為“Counter-Strike 1”、“Counter-Strike 2”或“Counter-Strike 3”而不是標(biāo)準(zhǔn)“Counter-Strike 1.6。”但誰(shuí)也不知道Belonard之后會(huì)不會(huì)“修復(fù)”這個(gè)“錯(cuò)誤”。

木馬的開(kāi)發(fā)者可以通過(guò)這種僵尸網(wǎng)絡(luò)模式推廣其他服務(wù)器以獲取服務(wù)費(fèi)，Dr.Web曾經(jīng)報(bào)告過(guò)類似的事件，木馬同樣可以通過(guò)惡意服務(wù)器感染玩家的設(shè)備。但是，用戶必須批準(zhǔn)下載惡意文件，此時(shí)木馬就會(huì)悄悄襲擊用戶未注意到的設(shè)備。Valve已知曉游戲的漏洞情況，但截至目前還沒(méi)有解決方案和修復(fù)補(bǔ)丁釋出。

閱讀Dr.Web發(fā)布的報(bào)告，了解最詳細(xì)的分析過(guò)程。

結(jié)語(yǔ)

CS 1.6早在幾年前就停止開(kāi)發(fā)，可是黑產(chǎn)依然沒(méi)有放過(guò)它，指望官方推出修復(fù)補(bǔ)丁遙遙無(wú)期，玩家能做的也不多，主要就是加入經(jīng)過(guò)審查的服務(wù)器進(jìn)行游戲或者升級(jí)客戶端到新版本。