黑客攻击游戏行业实际上并不是什么新鲜事，其惯用伎俩就是在游戏安装包中插入后门木马，然后再发放出去，以供游戏玩家下载。在2013年，卡巴斯基实验室就曾公开报道过一起针对游戏行业的黑客攻击活动，幕后黑客组织被命名为“Winnti”，且被认为来自中国。

最近，总部位于斯洛伐克的网络安全公司ESET报道称他们监测到了另一起针对游戏行业的新型供应链攻击，涉及两款游戏和一个游戏平台软件，受感染者主要位于亚洲（大多位于泰国）。

鉴于攻击主要针对的是亚洲地区以及游戏行业这两个特性，ESET表示他们有理由相信此次攻击的幕后黑客组织同样也是Winnti。

Winnti是何来历？为什么被认为来自中国？

根据卡巴斯基实验室此前的报道，Winnti 最初开始活跃的时间应该是在2009年，且在全球至少攻击了30家多游戏公司和在线游戏平台，攻击主要集中在东南亚、德国、美国、日本、中国、俄罗斯、巴西、秘鲁和白俄罗斯。

之所以怀疑该组织来自中国，是因为该组织使用的一款名为“HDRoot”的黑客工具拥有来自一家中国公司（Chinese entity Guangzhou YuanLuo Technology，疑似该公司的数字签名遭到了盗用）的数字签名。

两款游戏和一个游戏平台软件被插入相同后门

ESET表示，根据他们对三款受感染游戏产品的分析，攻击者所使用的恶意软件虽然在配置方面有所不同，但它们所包含的后门代码以及相应的启动机制却是几乎完全相同的。

目前，虽然三款游戏产品中的两款已经不再包含后门，但有一款游戏产品的开发商仍在发放携带木马的版本。具有讽刺意味的是，这款游戏产品的名字恰好就是“Infestation（感染）”，由泰国开发商Electronics Extreme制作。

恶意软件有效载荷（Payload）如何被插入？

根据ESET的说法，恶意软件的Payload代码会在后门可执行文件执行的早期阶段启动——对C Runtime初始化的标准调用（图1中的__scrt_common_main_seh）在PE入口点之后挂钩，以在其他内容之前就启动Payload（图2），这可能表明攻击者篡改的是游戏安装包的构建配置而不是源代码本身。

图1.未被篡改的可执行文件入口点

图2.被篡改的可执行文件入口点

在C Runtime代码和主机软件后续代码恢复正常执行之前，被插入到可执行文件的代码将解密并启动后门内存。插入的Payload数据具有特定的结构，如图3所示，它由添加的解包代码解析。

图3.插入的Payload的结构

它包括一个RC4密钥（与0x37进行XOR操作），用于解密文件名和嵌入的DLL文件。

针对恶意软件有效载荷（Payload）的详细分析

实际Payload非常小，只包含大约17 KB的代码和数据。

配置

图4.Payload的配置数据

配置包括四个字段：

C&C服务器网址；
变量(t)，用于确定在继续执行之前的休眠时间（以毫秒为单位，在2/3 t到5/3 t之间随机选择）；
标识活动的字符串；
以分号分隔的可执行文件名列表，如果其中任何一个正在运行，则后门将终止其执行。

以下是ESET目前已经确认的五个Payload版本：

图5.已确认的五个Payload版本

C&C基础设施

ESET表示，C&C服务器的域名是经过精心选择的，以使它们看起来与游戏或游戏平台软件的开发商相关。其中，apex域被设置为使用Namecheap重定向服务到相关的合法站点，而子域指向恶意的C&C服务器。

图6. C&C基础设施

命令

这个后门相对简单，只有四个命令可供被攻击者使用：

DownUrlFile
DownRunUrlFile
RunUrlBinInMem
UnInstall

从字面上来看，这些命令非常容易理解，允许攻击者通过给定的网址运行额外的可执行程序。

第二阶段

ESET表示，恶意软件向受感染计算机植入的第二阶段的Payload之一是Win64/Winnti.BN，其滴管组件（Dropper）是通过HTTPS从api.goallbandungtravel[.]com下载的，通过使用以下Windows服务和在C:\ Windows System32中的DLL进行安装：