前言

Counter-Strike 1.6（CS1.6）已經(jīng)廉頗老矣，早已不復(fù)10年前的盛況，筆者也早就將CS 1.6與年少時美好的記憶封存在內(nèi)心的一個小盒子里了，沒想到“CS 1.6”這個名詞再次出現(xiàn)眼前是因為俄羅斯殺毒軟件廠商Dr.Web的一份惡意軟件報告。

[[259548]]

報告指出39％的CS 1.6服務(wù)器已成為新型惡意軟件Belonard的傳播渠道。在筆者打CS 1.6的那個年代，只見透視、自瞄、加速、假冒sXe反作弊器、惡意插件、炸房等客戶端惡意手段橫行，而現(xiàn)在還有人拿服務(wù)器做文章，怎么回事？

服務(wù)器之殤

一般而言，CS 1.6服務(wù)器運營者會通過賣一些特權(quán)武器、屬性或者皮膚來取得一些盈利，一部分運營者自己來推銷服務(wù)器，還有一部分則向供應(yīng)商購買服務(wù)器推廣服務(wù)。在支付了服務(wù)費之后，運營者往往不知道他們的廣告是如何到達玩家處的，或者壓根就懶得管。

就是在你不管我也不管的狀態(tài)下，有一個名叫“Belonard”的開發(fā)商采用了非法的推廣手段，其服務(wù)器通過遠程代碼執(zhí)行（RCE）漏洞在玩家設(shè)備上安裝木馬程序，并使用他們的帳戶來推廣其他游戲服務(wù)器。該木馬在感染玩家設(shè)備后會下載惡意軟件以保護系統(tǒng)中的木馬并將其分發(fā)到其他玩家的設(shè)備。

Belonard共利用了6個RCE漏洞，2個存在于官方游戲客戶端（Steam正版），剩下4個來自盜版客戶端。通常這些惡意服務(wù)器通過很低的ping值吸引玩家進入，進入后玩家會被重定向到惡意服務(wù)器，玩家設(shè)備會通過而已服務(wù)器下載Trojan.Belonard，替換客戶端的可用游戲服務(wù)器的列表并在受感染的計算機上創(chuàng)建代理以傳播特洛伊木馬。Belonard通過這種模式創(chuàng)建了一個僵尸網(wǎng)絡(luò)，據(jù)分析Steam官方CS 1.6客戶端能夠搜到的約5000個服務(wù)器中，有1951個是由Belonard Trojan創(chuàng)建的，占總數(shù)的39％。

Trojan.Belonard由11個組件組成，并根據(jù)游戲客戶端處于的不同場景運行。如果使用官方客戶端，木馬會通過惡意服務(wù)器利用的RCE漏洞感染設(shè)備，然后在系統(tǒng)中扎穩(wěn)腳跟，干凈的官方客戶端就是這么被感染的。如果用戶從惡意服務(wù)器所有者的網(wǎng)站下載受感染的客戶端，則在啟動游戲后木馬就會植入系統(tǒng)中。

Belonard木馬的工作流程：

根據(jù)安全專家的說法，Belonard的代理服務(wù)器“錯誤”地將服務(wù)器游戲類型顯示為“Counter-Strike 1”、“Counter-Strike 2”或“Counter-Strike 3”而不是標準“Counter-Strike 1.6。”但誰也不知道Belonard之后會不會“修復(fù)”這個“錯誤”。

木馬的開發(fā)者可以通過這種僵尸網(wǎng)絡(luò)模式推廣其他服務(wù)器以獲取服務(wù)費，Dr.Web曾經(jīng)報告過類似的事件，木馬同樣可以通過惡意服務(wù)器感染玩家的設(shè)備。但是，用戶必須批準下載惡意文件，此時木馬就會悄悄襲擊用戶未注意到的設(shè)備。Valve已知曉游戲的漏洞情況，但截至目前還沒有解決方案和修復(fù)補丁釋出。

閱讀Dr.Web發(fā)布的報告，了解最詳細的分析過程。

結(jié)語

CS 1.6早在幾年前就停止開發(fā)，可是黑產(chǎn)依然沒有放過它，指望官方推出修復(fù)補丁遙遙無期，玩家能做的也不多，主要就是加入經(jīng)過審查的服務(wù)器進行游戲或者升級客戶端到新版本。