反恐精英1.6是一款知名游戏，十多年前就风靡全球，现在仍然有一个庞大的玩家群体，催生大量游戏服务器市场。服务器提供商不仅会出租游戏服务器给客户，还会提供推广服务，提升客户游戏服务器的流行程度。然而，根据最新安全研究显示，现有的5000台反恐精英1.6服务器中有39％试图通过游戏客户端中的漏洞攻击玩家。

在Dr.Web的一份新报告中，解释了不法分子如何搭建恶意游戏服务器，利用游戏客户端的漏洞，控制受害者加入Belonard木马僵尸网络，并推广其客户的游戏服务器。

木马Trojan.Belonard含有11个组件，可用根据游戏客户端在不同的场景下运作。玩家启动官方Steam客户端并选择游戏服务器后，一旦连接到恶意服务器，它就会利用RCE漏洞，将其中一个恶意库上传到受害者的机器上。

根据漏洞的类型，将下载并执行两个库中的一个：client.dll (Trojan.Belonard.1) 以及 Mssv24.asi(Trojan.Belonard.5) 。“这种攻击不是只针对反恐精英1.6的游戏客户端，反恐精英的所有玩家都是此僵尸网络的潜在受害者。

安装后，特洛伊木马将创建名为“Windows DHCP服务”的Windows服务，并使用ServiceDLL值加载保存在C：\Windows \ System32 \ WinDHCP.dll中的Belonard特洛伊木马。

随后，特洛伊木马将替换游戏客户端中的文件，这些文件不仅可以增加下载受感染游戏客户端，还可以推广虚假游戏服务器。如果玩家尝试加入其中一个服务器，他们将被重定向到存在已被Belonard特洛伊木马感染的恶意游戏服务器。

当玩家开始游戏时，他们的昵称将更改为，已被感染游戏客户端的下载网址，而游戏菜单则指向VKontakte CS 1.6社区的链接，该社区目前有超过11,500名订阅者。

木马Trojan.Belonard.1会在受害者设备上删除任意和库文件相同目录下的.dat文件。

之后恶意库会连接到C2服务器fuztxhus.valve-ms[.]ru:28445，并发送解密请求，然后下载文件：

Mp3enc.asi(Trojan.Belonard.2)

服务器会在响应中发送加密的文件。下图是来自服务器解密后的数据包：

Belonard通过加密方法，在木马中保存数据、与服务器进行通信。它会保存C2服务器的加密名，一些代码和库名。而老版本的木马使用的另一个算法来加密代码。Trojan.Belonard.2中的解密算法如下所示：

老版本的解密算法：

Belonard使用一个很复杂的加密方法来与C2服务器交换数据。在发送信息到服务器之前，木马会将每个模块变成不同的结构。收集的数据会用恶意软件中保存的RSA公钥加密。但RSA只对数据的前342字节进行加密，如果模块发送的包，数据大于342字节，那么只有前342字节会被加密，剩下的数据则会采用AES加密。

更多详细分析报告请访问：

https://st.drweb.com/static/new-www/news/2019/march/belonard_trojan_en.pdf

通过与http://REG.ru域名注册商的协调，Dr.Web现已关闭木马，用于将玩家重定向到虚假游戏服务器的域名，防止有新玩家受到攻击。

Dr. Web还继续监控有关恶意软件的的其他域名，到目前为止，感染速度似乎降低很多。

但是，彻底防止此僵尸网络死灰复燃的唯一方法就是修补客户端中的漏洞。但由于反恐精英1.6的制造商Valve已多年没有更新，其中的高危漏洞近期内很难修复。

各位游戏玩家可千万要小心啦！

参考来源：

• 白帽汇

• 嘶吼

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~