黑客攻擊遊戲行業實際上並不是什麼新鮮事，其慣用伎倆就是在遊戲安裝包中插入後門木馬，然後再發放出去，以供遊戲玩家下載。在2013年，卡巴斯基實驗室就曾公開報道過一起針對遊戲行業的黑客攻擊活動，幕後黑客組織被命名爲“Winnti”，且被認爲來自中國。

最近，總部位於斯洛伐克的網絡安全公司ESET報道稱他們監測到了另一起針對遊戲行業的新型供應鏈攻擊，涉及兩款遊戲和一個遊戲平臺軟件，受感染者主要位於亞洲（大多位於泰國）。

鑑於攻擊主要針對的是亞洲地區以及遊戲行業這兩個特性，ESET表示他們有理由相信此次攻擊的幕後黑客組織同樣也是Winnti。

Winnti是何來歷？爲什麼被認爲來自中國？

根據卡巴斯基實驗室此前的報道，Winnti 最初開始活躍的時間應該是在2009年，且在全球至少攻擊了30家多遊戲公司和在線遊戲平臺，攻擊主要集中在東南亞、德國、美國、日本、中國、俄羅斯、巴西、祕魯和白俄羅斯。

之所以懷疑該組織來自中國，是因爲該組織使用的一款名爲“HDRoot”的黑客工具擁有來自一家中國公司（Chinese entity Guangzhou YuanLuo Technology，疑似該公司的數字簽名遭到了盜用）的數字簽名。

兩款遊戲和一個遊戲平臺軟件被插入相同後門

ESET表示，根據他們對三款受感染遊戲產品的分析，攻擊者所使用的惡意軟件雖然在配置方面有所不同，但它們所包含的後門代碼以及相應的啓動機制卻是幾乎完全相同的。

目前，雖然三款遊戲產品中的兩款已經不再包含後門，但有一款遊戲產品的開發商仍在發放攜帶木馬的版本。具有諷刺意味的是，這款遊戲產品的名字恰好就是“Infestation（感染）”，由泰國開發商Electronics Extreme製作。

惡意軟件有效載荷（Payload）如何被插入？

根據ESET的說法，惡意軟件的Payload代碼會在後門可執行文件執行的早期階段啓動——對C Runtime初始化的標準調用（圖1中的__scrt_common_main_seh）在PE入口點之後掛鉤，以在其他內容之前就啓動Payload（圖2），這可能表明攻擊者篡改的是遊戲安裝包的構建配置而不是源代碼本身。

圖1.未被篡改的可執行文件入口點

圖2.被篡改的可執行文件入口點

在C Runtime代碼和主機軟件後續代碼恢復正常執行之前，被插入到可執行文件的代碼將解密並啓動後門內存。插入的Payload數據具有特定的結構，如圖3所示，它由添加的解包代碼解析。

圖3.插入的Payload的結構

它包括一個RC4密鑰（與0x37進行XOR操作），用於解密文件名和嵌入的DLL文件。

針對惡意軟件有效載荷（Payload）的詳細分析

實際Payload非常小，只包含大約17 KB的代碼和數據。

配置

圖4.Payload的配置數據

配置包括四個字段：

C&C服務器網址；
變量(t)，用於確定在繼續執行之前的休眠時間（以毫秒爲單位，在2/3 t到5/3 t之間隨機選擇）；
標識活動的字符串；
以分號分隔的可執行文件名列表，如果其中任何一個正在運行，則後門將終止其執行。

以下是ESET目前已經確認的五個Payload版本：

圖5.已確認的五個Payload版本

C&C基礎設施

ESET表示，C&C服務器的域名是經過精心選擇的，以使它們看起來與遊戲或遊戲平臺軟件的開發商相關。其中，apex域被設置爲使用Namecheap重定向服務到相關的合法站點，而子域指向惡意的C&C服務器。

圖6. C&C基礎設施

命令

這個後門相對簡單，只有四個命令可供被攻擊者使用：

DownUrlFile
DownRunUrlFile
RunUrlBinInMem
UnInstall

從字面上來看，這些命令非常容易理解，允許攻擊者通過給定的網址運行額外的可執行程序。

第二階段

ESET表示，惡意軟件向受感染計算機植入的第二階段的Payload之一是Win64/Winnti.BN，其滴管組件（Dropper）是通過HTTPS從api.goallbandungtravel[.]com下載的，通過使用以下Windows服務和在C:\ Windows System32中的DLL進行安裝：