前言Counter-Strike1.6(CS1.6)已经很老了,已经不是10年前的盛况了。笔者早就将CS1.6与美好的回忆封存在心底的小盒子里。没想到,因为俄罗斯杀毒软件厂商Dr.Web的一份恶意软件报告,“CS1.6”这个词又出现了。报告指出,39%的CS1.6服务器已成为新恶意软件Belonard的分发渠道。在笔者玩CS1.6的年代,只有透视、自瞄、加速、假sXe反作弊、恶意外挂、炸房等客户端恶意手段。现在还有人用服务器来做文章。这是怎么回事?一般来说,CS1.6服务器运营商会通过出售一些特权武器、属性或皮肤来获得一些利润。一些运营商自己销售服务器,一些运营商从供应商那里购买服务器来推广服务。支付了服务费后,运营商往往不知道自己的广告是如何到达玩家手中的,或者根本懒得去关心。就在你不在乎我也不在乎的状态下,一个名叫“Belonard”的开发者采用了非法的推广手段。其服务器通过远程代码执行(RCE)漏洞在玩家设备上安装木马程序,并利用玩家账号推广其他游戏服务器。在感染玩家的设备后,木马会下载恶意软件以保护系统免受木马的侵害,并将其分发到其他玩家的设备。Belonard一共利用了6个RCE漏洞,其中2个存在于官方游戏客户端(Steam正版),其余4个来自盗版客户端。通常这些恶意服务器通过极低的ping值吸引玩家进入。进入后,玩家将被重定向到恶意服务器。玩家设备会通过现有服务器下载Trojan.Belonard,替换客户端的可用游戏服务器列表并安装到受感染的电脑上。创建代理是为了传播特洛伊木马。Belonard通过这个模型创建了一个僵尸网络。据分析,在SteamCS1.6官方客户端可查到的约5000台服务器中,Belonard木马创建的服务器有1951台,占总数的39%。Trojan.Belonard由11个组件组成,根据游戏客户端所处的不同场景运行。如果使用官方客户端,木马会通过恶意服务器利用的RCE漏洞感染设备,进而在游戏客户端站稳脚跟。系统。clean官方客户端就是这样被感染的。如果用户从恶意服务器所有者的网站下载受感染的客户端,则木马会在启动游戏后植入系统。Belonard特洛伊木马程序工作流程:根据反恐精英1.6安全专家的说法,Belonard的代理服务器“错误地”将服务器游戏类型显示为“反恐精英1”、“反恐精英2”或“反恐精英3”,而不是“标准”。但是谁知道Belonard以后会不会“修复”这个“bug”呢。木马开发者可以利用这个僵尸网络模型来推广其他服务器获取服务费。Dr.Web也曾报道过类似的事件。木马也可以感染玩家的设备通过恶意服务器。然而,用户必须批准下载恶意文件,此时木马可以在用户不注意的情况下悄悄攻击设备。Valve已经意识到游戏的漏洞,但到目前为止还没有发布解决方案和修复程序.阅读Dr.Web发布的报告了解最详细的分析过程结论CS1.6的开发几年前就停止了,但黑产仍然没有放过它,希望正式发布修复补丁远了方式,玩家能做的不多。主要是加入审核过的服务器玩游戏或者升级客户端到新版本。
