新闻排行榜

藜麦,梁洛施,基围虾的做法

黑客攻击游戏行业实际上并不是什么新鲜事,其惯用伎俩就是在游戏安装包中插入后门木马,然后再发放出去,以供游戏玩家下载。在2013年,卡巴斯基实验室就曾公开报道过一起针对游戏行业的黑客攻击活动,幕后黑客组织被命名为“Winnti”,且被认为来自中国。

最近,总部位于斯洛伐克的网络安全公司ESET报道称他们监测到了另一起针对游戏行业的新型供应链攻击,涉及两款游戏和一个游戏平台软件,受感染者主要位于亚洲(大多位于泰国)。

鉴于攻击主要针对的是亚洲地区以及游戏行业这两个特性,ESET表示他们有理由相信此次攻击的幕后黑客组织同样也是Winnti。

Winnti是何来历?为什么被认为来自中国?

根据卡巴斯基实验室此前的报道,Winnti 最初开始活跃的时间应该是在2009年,造粒机厂家且在全球至少攻击了30家多游戏公司和在线游戏平台,攻击主要集中在东南亚、德国、美国、日本、中国、俄罗斯、巴西、秘鲁和白俄罗斯。

之所以怀疑该组织来自中国,是因为该组织使用的一款名为“HDRoot”的黑客工具拥有来自一家中国公司(Chinese entity Guangzhou YuanLuo Technology,疑似该公司的数字签名遭到了盗用)的数字签名。

两款游戏和一个理查德米勒骷髅头价格游戏平台软件被插入相同后门

ESET表示,根据他们对三款受感染游戏产品的分析,攻击者所使用的恶意软件景鼎文虽然在配置方面有所不同,但它们所包含的后门代码以及相应的启动机制却是几乎完全相同的。

目前,虽然陈云霞夺冠三款游戏产品中的两款已经不再包含后门,但有一款游戏凌志ct200h产品的开发商仍在发放携带木马的版本。具有讽刺意味的是,这款游戏产品的名字恰好就是“Infestation(感染)”,由泰国开发商Electronics Extreme制作。

恶意软件有效载荷(Payload)如何被插入?

根据ESET的说法,恶意软件的Payload代码会在后门可执行文件执行的早期阶段启动——对C Runtime初始化的标准调用(图1中的__scrt_common_main_seh)在PE入口点之后挂钩,以在其他内容之前就启动Payload(图2),这可能表明攻击者篡改的是游戏安黑金钢莲雾装包的构建配置而不是源代码本身。

图1.未被篡改的可执行文件入口点

图2.被篡改的可执行文件入口点

在C Runtime代码和主机软件后续代码恢复正常执行之前,被插入到可执行文件的代码将解密并启动后门内存。插入的Payload姥姥视频数据具有特定的结构,如图3所示,它由添加的解包代码解析。

图3.插入的Payload米童网的结构

它包括一个RC4密钥(与0x37进行XOR操作),用于解密文件名和嵌入的DLL文件。

针对恶意软件有效载荷(Payload)的详细2233小游戏分析

实际Payload非常小,只包含大约17 KB的代码和数据。

配置

图4.Payload的配置数据

配置包括四个字段:

  • C&C服务器网址;
  • 变量(t),用于确定在继续执行之前的休眠时间(以毫秒为单位,在2/3 t到5/3 t之间随机选择);
  • 标识活动的字符串;
  • 以分号分隔的可执行文件名列表,如果其中任何一个正在运埃斯科瓦尔的家人结局行,则后门将终止其执行。

以下是ESET目前已经确认的五个Payload版本:

图5.已确认的五个Payload版本

C&C基础设施

ESET表示袁守城真实身份,C&C服务器的域名是经过精心选择的,以使它们看起来与游戏或游戏平台软件的开发商相关。其中,apex域被设置为使用Namecheap重定向服务到相关的合法站点,而子域指向恶意的C&C服务器。

图6. C&C基础设施

命令

这个后门相对简单,只有四个命怪盗基德与四幅名画令可供被攻击者使用:

  • DownUrlFile
  • DownRunUrlFile
  • RunUrlBinInMem
  • UnInstall

从字面上来看,这些命令非常容易理解,允许攻击者通过给定的网址运行额外的可执行程序。

第二阶段

ESET表示,恶意软件向受感染计算机植入的第二阶段的Payload之一是Win64/Winnti.BN,其滴管组件(Dropper)是通过HTTPS从api.goallbandungtravel[.]com下载的,通过使用以下Windows服务和在C:\ Windows System32中的DLL进行安装:

  • cscsrv.dll
  • dwmsvc.dll
  • iassrv.dll
  • mprsvc.dl缺八数l
  • nlasrv.dll
  • powfsvc.dll
  • racsvc.dll
  • slcsvc.dll
  • snmpsvc酷易充.dll
  • sspisvc.dll

一旦服务运行,它会将扩展名.mui附加到其DLL路径,读取该文件并使用RC5尊龙出柜对其解密。解密后的MUI文件包含位置独立、偏移量为0的代码。其中,RC5密钥来自硬盘序列号和字符串“f@Ukd!rCto R$.”。

值得注意的是,最新版本有一个“自动更新”的机制,使用的C&C服务器是http://checkin.travelsanignacio[.]com,以提供使用静态RCnewhalf5密钥加密的最新版本的MUI文件。

攻击目标

在运行实际Payload之前,恶意软件首先会检查系统重生之国民女神顾清婉语言是否五鼠战长沙使用的是俄语或者中文(图7)。只要匹配任意一个,它就会终止运行。因此,ESET认为攻击者显然是要将使用这些语言配置的计藜麦,梁洛施,基围虾的做法算机排除在攻击范围之外。

图7.运行实际payload之前的语言检查

ESET最后表示,对于普通用户而言,他们很难风格纯粹c新浪微博发现这起供应链攻击。因为,普通用户没有能力去分析其使用的每一款软件,尤其是那些需要定期更新的软件。因此,想要防御供应链攻击,显然需要从源头抓起,也就是供应商或开发商。

推荐新闻