APP下载

热门线上游戏档遭加料!查出网军恶意程式,英雄联盟百万玩家恐遭骇

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息热门线上游戏档遭加料!查出网军恶意程式,英雄联盟百万玩家恐遭骇

线上游戏代理商Garena,2014年12月31日在英雄联盟官网上,发表该款游戏遭骇事件,并向玩家致歉。

台湾平均每天有100万人次上线的热门线上游戏英雄联盟(LOL),以及其他2款由游戏代理商Garena代理的线上游戏:流亡黯道和FIFA Online3,在2014年11月中旬~12月下旬时,被发现该公司数位签章遭窃,导致该公司在官网上供玩家下载的游戏程式被骇客加料,除正常游戏档案外还免费赠送一个网军常用的恶意程式PlugX。

台湾资安社群HITCON以及台湾漏洞回报公益平台共同揭露这样的受骇讯息,台湾Garena除了在2014年12月31日在官网上正式公开道歉,并允诺提供玩家可以下载一套F-Secure正版防毒软件之外,目前也已经在新的服务器上,完成所有受骇游戏程式的更新。有资安疑虑的玩家,可以直接在官网重新下载游戏程式,也可以使用趋势科技提供的免费清除工具进行扫描。

包括英雄联盟在内,有3款线上游戏档案被骇客加料

资安研究员也是英雄联盟玩家Kenny,日前在HITCON Free Talk的场合中表示,一般而言,玩家下载游戏程式管道有2种,一种是透过官网下载器从游戏原厂的云端服务下载游戏程式,另外一种则是从官网直接下载。此次发现英雄联盟下载的游戏被加料的版本,则是从官网直接下载的版本。

将英雄联盟加料的恶意程式上传VirusTotal则发现,早在2014年11月11日,就已经有人将该版本的恶意程式上传测试,到11月12日则发现一个最早的骇客中继站域名解析记录;由Garana代理的另外一款游戏流亡黯道的游戏也同样被骇客加料,在11月21日就发现有人将该恶意程式同样上传VirusTotal进行测试。Kenny表示,上传Virustotal是骇客和资安研究员都会做的事情,就是想测试,市面上既有的防毒软件是否可以顺利侦测到该恶意程式。

一直到12月2日,有玩家在PPT上张贴被中国防毒软件360侦测到有恶意程式;12月3日则被卡巴斯基侦测到有恶意程式,但官方客服中心的回复都是“没有中毒”、“没有被植入恶意程式”。到12月21日则有玩家公布Virustotal扫毒结果,代理商Garena则在12月23日更新程式,但中国网军所使用的后门程式还存在。12月29日更新的档案才是正常版,但是,FIFA Online3的程式,到1月5日由台湾漏洞回报公益平台测试后,该款游戏还没有更新成无毒的正常程式。

从第一个上传英雄联盟游戏的恶意程式到VirusTotal,到台湾Garena发布资安公告,这一个多月的过程中,并不清楚有多少玩家陆续下载这个加料的游戏软件,但是,在台湾的代理商没有办法解决玩家所面临的资安疑虑,也是造成玩家权益未能获得保障的重要原因。

而在台湾漏洞回报公益平台中,也有白帽骇客揭露Garena供玩家下载的3款游戏遭骇,提报该漏洞的资安研究员Kenny到1月13日晚上也更新后续进度。目前英雄联盟、流亡黯道和FIFA Online 3的数位签章,都已经各自换成没有后门的数位签章,但他特别提醒,“恶意程式签署的2014.9.25数位签章依然有效”,目前在VirusTotal上已有17家防毒厂商可侦测到恶意程式,业者应该重新申请数位签章。

游戏档内含网军常用恶意程式,手法难以察觉

这个过程中,资安业者台湾威瑞特(Verint)资安研究长丛培侃表示,他们在12月17日在其政府部门的客户电脑中发现,有员工下载流亡黯道的游戏软件,并持续连线到恶意的中继站,包括:gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw,也对应到2个IP:192.126.118.198及202.65.214.220,分别在香港和洛杉矶。进一步研究则发现,这个游戏被加料的恶意程式,是过往常见于中国网军所使用的恶意程式PlugX总共有三型中的第一型(Type 1)。

丛培侃表示,这个恶意程式PlugX非常先进,不仅是走Http通讯协定,利用的手法都是直接修改系统的程式,只有少部分是不正常的系统程式,因此很难被察觉,此次,骇客便利用Dll Path Hijacking(Dll路径挟持)攻击手法,利用载入Dll不同优先级的技巧,将恶意程式隐藏在正常的程式中。

此外,该恶意程式则绕过UAC(使用者账号控制)功能,让电脑系统不会提醒使用者有任何软件安装或系统调整。再者,PlugX支援包括TCP、UDP和ICMP等通讯埠,防火墙根本难以阻挡;除了有键盘侧录功能,还加上具备许多远多遥控功能,包括连线(Connection)、传档(File)、撷取(Capture)、下指令(Cmd)、设定(Registry)、启动服务(Service)和启动程序(Process)等功能。目前PlugX常见于亚洲和美国。

骇客锁定游戏业者发动攻击,大型网游业者都受骇

这个恶意程式虽然常见于网军中,但连线的中继站IP地址,却可以从资安公司Command Five在2011年9月发布的一份资安报告中可以发现关连性;卡巴斯基在2013年4月则将该恶意程式命名为Winnti,主要是有一群专门针对游戏产业攻击的骇客组织,会将PlugX(或称Winnti)设法植入各个游戏公司的电脑中。就目前所知,韩国每一间线上游戏业者,都曾经严重受骇,其他受骇游戏业者的国家还包括:中国、俄罗斯、白俄罗斯、德国、美国、巴西、秘鲁、印尼、泰国、越南、台湾和日本等国。

资安研究员GD分析这次的恶意程式对企业造成的损害,包括:偷取游戏源代码;偷取数位签章,将恶意程式签章成为合法程式;偷取虚拟货币宝物;偷取玩家个资;以及将线上游戏更新程式,内建一个恶意程式。除了偷取虚拟宝物的意图不明显,其他都可以沾得上边,尤其是,将游戏的更新程式捆绑一个恶意程式供玩家下载,更是此次新的攻击手法。

不过,侦办网络与数位犯罪的警察单位表示,从许多“游戏私服”的存在,就可以看出,许多游戏业者的资安防护不足,导致许多线上游戏的源代码,早已经外泄。而他也说,许多游戏原厂会针对各国不同的语系,释出不同语系的游戏源代码档案给代理商,不仅原厂游戏源代码有外泄的风险,许多台湾游戏代理商也有外泄繁体中文语系游戏源代码的风险。

他指出,在2014年,台湾就有某家游戏业者私底下“咨询”过,外泄游戏源代码后的因应对策。该名警官表示,许多游戏业者受骇后,往往都不敢报案,但更关键的问题在于,这些游戏业者连基本的Log收集都没有,即使报案,警方和资安公司也都无力提供协助。

类似APT受骇事件,不应该当做中毒事件处理

台湾威瑞特(Verint)技术长邱铭彰表示,Garena刚开始因为没有意识到事态严重而疏于处理,但随着揭露的讯息越来越多,该公司包含新加坡的技术人员,也都紧急飞来台湾协助更新游戏程式,并试图找出问题所在。“愿意正面面对资安议题,就值得肯定。”他说。

Garena也在官方网站指出,在确认问题后,Garana透过第三方网络安全公司协助进行全公司扫描,除了清除已知威胁,并将有问题的档案,重新将游戏档案安装在新的服务器中并上架,提供玩家下载使用。事件过后,Garana也表示,目前除了强化员工的资安训练,也会改善提供玩家档案的流程,并将透过第三方资安公司合作,杜绝类似问题再度发生。

不过,邱铭彰特别提醒,这次的游戏下档被植入网军常用的恶意程式,虽然有可能是某个特别锁定游戏产业的骇客组织所发动的攻击行为,但他认为,面对这种类似APT的攻击威胁时,受骇企业都不应该当做一般的病毒攻击事件来解决,应该要第一时间提高应有的防护层级,后续也应该建立单一的资安事件通报窗口,避免此次威瑞特想要通报Garena遇到的资安事件时,无法顺利找到适当的通报窗口。

而台湾趋势科技免费恶意程式清理工具Trend Micro Clean Tool,也针对PlugX更新相关的病毒码,供玩家免费使用。

线上游戏代理商Garena在去年11~12月中,发生总共3款游戏,因为数位签章遭窃,导致供玩家下载的游戏档案,被植入网军常用恶意程式PlugX。多位资安研究专家日前也在HITCON Free Talk的场次中,分享该起事件的攻击手法和可能的影响。

 

 

 

2018-02-12 15:25:00

相关文章