犯罪团伙进犯游戏职业也不是什么新鲜事了，其惯用 *** 是在游戏的构建环境中刺进后门，然后将歹意软件作为合法软件分发出去。卡巴斯基实验室就曾报导过某款在2011年很受欢迎的游戏被Winnti安排植入了后门的事情。
最近，ESET的研究人员留意到了一同针对游戏职业的新式供应链进犯，此次进犯举动触及两款游戏和一个游戏渠道应用程序。考虑到进犯首要针对亚洲地区和游戏职业这两个特性，咱们有理由估测此次进犯仍有或许是Winnti安排所为。
三起事例，相同后门
在咱们观察到的三起事例中，进犯者别离就不同的目标采取了不同装备的歹意软件，但其包括后门代码是相同的，而且运用了相同的发动机制。当时，三款产品中有两款已不再包括后门，但还有一款产品的开发商却仍在散发着带有木马的版别，而具有挖苦意味的是，这款游戏刚好也名为Infestation（感染），由泰国开发商Electronics Extreme制造。自2月初以来，咱们现已过各种渠道屡次告诉该公司，但没有取得显着发展。
让咱们看看该歹意软件payload的嵌入 *** ，以及关于后门的一些细节。
Payload的嵌入
Payload代码在后门可履行文件履行前期发动。对C Runtime初始化的规范调用（图1中的__scrt_common_main_seh）在PE进口点之后挂钩，以在其他内容之前就发动Payload（图2）。这或许标明进犯者改动的是代码的构建装备而不是源代码自身。

图1.未受损的可履行文件进口点

图2.受损的可履行文件进口点
在C Runtime代码和主机应用程序后续代码康复正常履行之前，增加到可履行文件的代码将解密并发动后门内存。嵌入的payload数据具有特定的结构，如图3所示，它由增加的解包代码解析。

图3.嵌入的payload结构
它包括一个RC4密钥（与0x37进行XOR操作），用于解密文件名和嵌入的DLL文件。
歹意Payload
实践Payload十分小，只包括大约17 KB的代码和数据。
装备
如图4所示，装备数据仅仅一个用空格分隔的字符串列表。

图4.Payload装备数据
装备包括四个字段:
· C&C服务器URL。
· 变量(t)，用于确认在持续履行之前的睡觉时刻（以毫秒为单位）。等候时刻在2/3 t到5/3 t之间随机挑选。
· 标识活动的字符串。
· 以分号分隔的可履行文件名列表，假如其间任何一个正在运转，则后门将间断其履行。
ESET研究人员现已确认了五个版别的Payload:

在前三个变体中，代码没有从头编译，但装备数据是在DLL文件中修改的，其他内容是用于字节仿制的字节。
C&C基础设施
域名是经过精心挑选的，以使它们看起来与游戏或应用程序发布者相关。apex域被设置为运用Namecheap重定向服务重定向到相关的合法站点，而子域指向歹意的C&C服务器。

在本文发布时，还没有任何域被解析，且C＆C服务器没有响应。
侦查陈述
bot标识符由机器的MAC地址生成。后门向C&C服务器陈述有关核算机的信息，如用户名、核算机名、Windows版别和体系言语，并等候指令。数据用密钥“*&b0i0rong2Y7un1”和base64编码进行XOR加密。从C&C服务器接纳的数据运用相同的密钥加密。
指令
这个后门相对简略，只要四个指令能够被进犯者运用:
· DownUrlFile
· DownRunUrlFile
· RunUrlBinInMem
· UnInstall
这些指令十分简单了解，它们答应进犯者从给定的URL运转额定的可履行程序。
最终一个或许不那么显着。卸载指令不会从体系中删去歹意软件。究竟，它嵌入到一个合法的可履行文件中，依然需求运转。它没有删去任何东西，而是经过将注册表值设置为1禁用歹意代码:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionImageFlag
当Payload发动时，会查询注册表值，假如设置了注册表值，则履即将间断。
第二阶段
根据ESET的遥测技术，向受害者供给的第二阶段的payload之一是Win64/Winnti.BN。据咱们所知，它的dropper是经过HTTPS从api.goallbandungtravel[.]com处下载的。咱们现已观察到它运用以下文件名作为Windows服务和在C： Windows System32中的DLL进行装置：
· cscsrv.dll
· dwmsvc.dll
· iassrv.dll
· mprsvc.dll
· nlasrv.dll
· powfsvc.dll
· racsvc.dll
· slcsvc.dll
· snmpsvc.dll
· sspisvc.dll
咱们剖析的样本巨细约为60 MB，尽管看着大，但实践歹意软件巨细仅介于63 KB和72 KB之间，由于歹意软件附带了许多洁净的文件。这或许是由植入并装置此歹意服务的组件完结的。
一旦服务运转，它将扩展名.mui附加到其DLL途径，读取该文件并运用RC5对其解密。解密后的MUI文件包括方位独立、偏移量为0的代码。RC5密钥来自硬盘序列号和字符串“f@Ukd!rCto R$.” 。但是，咱们无法取得任何MUI文件，也无法取得装置它们的代码。因而，咱们不知道这种歹意服务的切当意图。

[1] [2]  黑客接单网