Counter Strike (C.S) : 39% des serveurs infectés par un malware

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1469
Inscription : 02 juin 2012 20:48

Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Parisien_entraide » 16 mars 2019 11:52

L'info est venue de Dr. Web
index.jpg
index.jpg (9.18 Kio) Consulté 100 fois
https://news.drweb.com/show/?i=13135&lng=en


Dr. Web affirme que 1951 serveurs de CS 1.6, soit environ 39 % des serveurs analysés, sont infectés par le cheval de Troie Belonard.


Un pirate baptisé Belonard contamine les joueurs.
Malheureusement, les antivirus n’étaient pas en mesure de détecter tous les modules de son cheval de Troie.


Ce dernier utilise une vulnérabilité du logiciel client pour pénétrer dans les ordinateurs. Il s’introduit lors de la connexion à un serveur de jeu contaminé. Le malware remplace ensuite les fichiers client du jeu et créé des serveurs proxy pour propager l’infection. Contrairement aux incidents signalés précédemment, il ne nécessite aucune confirmation de la part de l’utilisateur. Dr. Web précise « avoir informé Valve de ces vulnérabilités et d’autres vulnérabilités du jeu, mais pour le moment, rien n’indique que les vulnérabilités soient corrigées« .

En règle générale, les serveurs proxy affichent un ping inférieur, de sorte que les autres joueurs les verront en haut de la liste. En sélectionnant l'un d'eux, un joueur est redirigé vers un serveur malveillant sur lequel son ordinateur est infecté par Trojan.Belonard.


INFECTION DU CLIENT

Trojan.Belonard comprend 11 composants et fonctionne selon différents scénarios, en fonction du client du jeu.
Si le client officiel est utilisé, le cheval de Troie infecte le périphérique à l'aide d'une vulnérabilité RCE, exploitée par le serveur malveillant, puis s'établit dans le système.
Un client piraté propre est infecté de la même manière. Si un utilisateur télécharge un client infecté depuis le site Web du propriétaire du serveur malveillant, la persistance du cheval de Troie dans le système est assurée après le premier lancement du jeu.
belonard_02_en.1.png

PROCESSUS D'INFECTION

Un joueur lance le client Steam officiel et sélectionne un serveur de jeux.
Lors de la connexion à un serveur malveillant, il exploite une vulnérabilité RCE en téléchargeant l'une des bibliothèques malveillantes sur le périphérique de la victime.
En fonction du type de vulnérabilité, l'une des deux bibliothèques sera téléchargée et exécutée: client.dll (Trojan.Belonard.1) ou Mssv24.asi (Trojan.Belonard.5).

Une fois sur le périphérique de la victime, Trojan.Belonard.1 supprime tous les fichiers .dat situés dans le même répertoire que le fichier de processus de la bibliothèque. Après cela, la bibliothèque malveillante se connecte au serveur de commandes et de contrôle, fuztxhus.valve-ms [.] Ru: 28445, et lui envoie une demande chiffrée pour télécharger le fichier Mp3enc.asi (Trojan.Belonard.2). Le serveur envoie ensuite le fichier crypté en réponse.
belonard_03.1.png


INSTALLATION CLIENT

L'infection du client officiel ou piraté est réalisée à l'aide de la fonction spécifique du client Counter-Strike. Une fois lancé, le jeu télécharge automatiquement tous les fichiers ASI à la racine du jeu.

Le client téléchargé sur le site Web du développeur du cheval de Troie est déjà infecté par Trojan.Belonard.10 (le nom du fichier est Mssv36.asi), mais le cheval de Troie s’installe dans le système différemment des versions propres des clients du jeu.

Après l'installation d'un client infecté, Trojan.Belonard.10 recherche l'un de ses composants dans le système d'exploitation de l'utilisateur. S'il n'y en a aucun, il supprime le composant de son corps et télécharge Trojan.Belonard.5 (le nom du fichier est Mssv24.asi) dans la mémoire de processus.

Comme de nombreux autres modules, Trojan.Belonard.10 modifie la date et l'heure de création, de modification ou d'accès au fichier, de sorte que les fichiers du cheval de Troie ne puissent pas être trouvés en triant le contenu du dossier par date de création.

Après l’installation d’un nouveau composant, Trojan.Belonard.10 reste dans le système et joue le rôle de protecteur du client. Il filtre les demandes, les fichiers et les commandes reçus d'autres serveurs de jeu et transfère les données sur les tentatives de modification apportées au client sur le serveur du développeur de chevaux de Troie.

Trojan.Belonard.5 reçoit des informations sur le processus en cours et les chemins d'accès au module dans DllMain.
Si le nom du processus n'est pas rundll32.exe, il lance des threads distincts pour les actions suivantes. Trojan.Belonard.5 crée dans le thread en cours d'exécution la clé [HKCU \\ LOGICIEL \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<chemin d'accès au processus du fichier exécutable>', lui attribue la valeur “RUNASADMIN” et vérifie le nom du module.
S'il ne s'agit pas de «Mssv24.asi», il se copie dans le module «Mssv24.asi», supprime la version portant un nom différent et lance Trojan.Belonard.3 (le nom du fichier est Mssv16.asi). Si le nom correspond, il télécharge et lance immédiatement le cheval de Troie.

L'incorporation dans un client propre est effectuée par Trojan.Belonard.2. Après le téléchargement, il vérifie dans DllMain le nom du processus dans lequel client.dll (Trojan.Belonard.1) est chargé.
S'il ne s'agit pas de rundll32.exe, il crée un fil avec la clé [HKCU \\ LOGICIEL \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<chemin d'accès au processus du fichier exécutable>', et attribue il la valeur "RUNASADMIN".
Ensuite, il collecte des données sur le périphérique de l'utilisateur et extrait les informations du fichier DialogGamePage.res. Ensuite, il envoie les données collectées au serveur du développeur Trojan dans un format chiffré.

belonard_04.1.png

En réponse, le serveur envoie le fichier Mssv16.asi, (Trojan.Belonard.3). Les méta-informations sur le nouveau module sont enregistrées dans le fichier DialogGamePage.res, tandis que Trojan.Belonard.5 est supprimé du périphérique de l'utilisateur.



INSTALLATION DANS LE SYSTEME

Le processus permettant d’assurer la persistance dans le système commence par Trojan.Belonard.3.

Une fois sur le périphérique, il supprime Trojan.Belonard.5 et vérifie le processus, dans le contexte duquel il s'exécute. S'il ne s'agit pas de rundll32.exe, il enregistre deux autres chevaux de Troie dans% WINDIR% \ System32 \: Trojan.Belonard.7 (le nom du fichier est WinDHCP.dll) et Trojan.Belonard.6 (davapi.dll). Dans le même temps, contrairement à Trojan.Belonard.5, les septième et sixième sont stockés dans le cheval de Troie sous une forme désassemblée. Les corps de ces deux chevaux de Troie sont divisés en blocs d'octets 0xFFFC (le dernier bloc peut être plus petit). Une fois enregistré sur le disque, le cheval de Troie assemble les blocs pour obtenir des fichiers de travail.

Une fois les chevaux de Troie assemblés, Trojan.Belonard.3 crée un service WinDHCP pour exécuter WinDHCP.dll (Trojan.Belonard.7) dans le contexte de svchost.exe. Selon les paramètres de langue, le système d'exploitation utilise des textes en russe ou en anglais pour définir les paramètres de service.


Paramètres du service WinDHCP:

Nom du service: “Service Windows DHCP” ou “Служба Windows DHCP”;
Description: “Service de protocole de configuration d'hôte dynamique Windows” ou “Служба протокола динамической настройки узла Windows”;
Le paramètre ImagePath est spécifié sous la forme «% SystemRoot% \ System32 \ svchost.exe -k netsvcs», tandis que ServiceDll spécifie le chemin d'accès à la bibliothèque de chevaux de Troie.

Ensuite, Trojan.Belonard.3 vérifie régulièrement si le service WinDHCP est en cours d'exécution. S'il n'est pas en cours d'exécution, il réinstalle le service.

Trojan.Belonard.7 est WinDHCP.dll avec une fonction exportée ServiceMain, installée sur le périphérique infecté par un service autorun. Son but est de vérifier le paramètre "Tag" dans le registre de la clé "HKLM \\ SYSTEM \\ CurrentControlSet \\ Services \\ WinDHCP". Si ce paramètre est défini sur 0, Trojan.Belonard.7 charge la bibliothèque davapi.dll (Trojan.Belonard.6) et appelle la fonction exportée, en passant un pointeur sur un SERVICE_STATUS en tant qu’argument, qui reflète le statut du service WinDHCP.
Ensuite, il attend 1 seconde et vérifie une nouvelle fois le paramètre «Tag». Si la valeur ne correspond pas à 0, Trojan.Belonard.7 charge la bibliothèque spwinres.dll (Trojan.Belonard.4), qui est une version plus ancienne de Trojan.Belonard.6. Après cela, il appelle la fonction exportée de spwinres.dll, en passant un pointeur sur un SERVICE_STATUS en tant qu'argument, qui reflète le statut du service WinDHCP.

Le cheval de Troie répète ces actions toutes les secondes.

Paramètres de service WinDHCP du rapport de notre client:

Code : Tout sélectionner

<RegistryKey Name="WinDHCP" Subkeys="1" Values="11">
<RegistryKey Name="Parameters" Subkeys="0" Values="1">
<RegistryValue Name="ServiceDll" Type="REG_EXPAND_SZ" SizeInBytes="68" Value="%SystemRoot%\system32\WinDHCP.dll" />
</RegistryKey>
<RegistryValue Name="Type" Type="REG_DWORD" Value="32" />
<RegistryValue Name="Start" Type="REG_DWORD" Value="2" />
<RegistryValue Name="ErrorControl" Type="REG_DWORD" Value="0" />
<RegistryValue Name="ImagePath" Type="REG_EXPAND_SZ" SizeInBytes="90" Value="%SystemRoot%\System32\svchost.exe -k netsvcs" />
<RegistryValue Name="DisplayName" Type="REG_SZ" Value="Служба Windows DHCP" />
<RegistryValue Name="ObjectName" Type="REG_SZ" Value="LocalSystem" />
<RegistryValue Name="Description" Type="REG_SZ" Value="Служба протокола динамической настройки узла Windows" />
<RegistryValue Name="Tag" Type="REG_DWORD" Value="0" />
<RegistryValue Name="Data" Type="REG_BINARY" SizeInBytes="32" Value="f0dd5c3aeda155767042fa9f58ade24681af5fbd45d5df9f55a759bd65bc0b7e" />
<RegistryValue Name="Scheme" Type="REG_BINARY" SizeInBytes="16" Value="dcef62f71f8564291226d1628278239e" />
<RegistryValue Name="Info" Type="REG_BINARY" SizeInBytes="32" Value="55926164986c6020c60ad81b887c616db85f191fda743d470f392bb45975dfeb" />
</RegistryKey>

La suite et autres détails à https://news.drweb.com/show/?i=13135&lng=en


A noter que les appels ce font sur les noms de domaines (à bloquer donc dans le fichier Hosts https://www.malekal.com/fichier-hosts/ ) :


csgoogle.ru
etmpyuuo.csgoogle.ru
jgutdnqn.csgoogle.ru
hl.csgoogle.ru
half-life.su
play.half-life.su
valve-ms.ru
bmeadaut.valve-ms.ru
fuztxhus.valve-ms.ru
ixtzhunk.valve-ms.ru
oihcyenw.valve-ms.ru
suysfvtm.valve-ms.ru
wcnclfbi.valve-ms.ru
reborn.valve-ms.ru

et les DNS sont

37.143.12.3
46.254.17.165


Only Amiga... was possible !


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94290
Inscription : 10 sept. 2005 13:57
Contact :

Re: Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Malekal_morte » 16 mars 2019 12:20

En théorie, ça devrait faire beaucoup de victimes mais je n'ai jamais rencontré ce malware dans les désinfections sur les forums.
Dommage aussi que l'on ait pas plus d'infos sur la vulnérabilité utilisée.
Est-ce une ancienne vulnérabilité, 0-Day, elle est corrigée à partir de quelle version ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1469
Inscription : 02 juin 2012 20:48

Re: Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Parisien_entraide » 16 mars 2019 12:50

Difficile pour l'instant d'en savoir plus, puisque VALVE n'a pas réagi (et perso je n'ai pas vu de MAJ passer sur mes CS hormis celle de Counter-Strike: Global Offensive )

La seule trace chez eux de cette infection est sur un forum en langue UK posté il y a quelques heures par un utilisateur
Cela affecterait cependant la version 1.6 de CS et pas les autres versions (Counter-Strike: Global Offensive )
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94290
Inscription : 10 sept. 2005 13:57
Contact :

Re: Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Malekal_morte » 16 mars 2019 12:53

ok, 1.6 ça doit expliquer pourquoi on ne voit pas plus de victimes dans ce cas.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1469
Inscription : 02 juin 2012 20:48

Re: Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Parisien_entraide » 16 mars 2019 13:01

Pour donner un ordre d'idée :

Au 16/03 nombre de joueurs actifs à 12h52

651,118 Counter-Strike: Global Offensive
17,540 Counter-Strike 1.6

Sur les derniers 30 jours (ce qui est plus réaliste car tenant compte des heures de jouabilité en rapport avec le décalage horaire)

374149.16 Counter-Strike: Global Offensive
10976.41 Counter-Strike 1.6 (avec une perte de -7% par rapport au mois précédent)

Ce qui relativise le nombre de possible d'infectés
Only Amiga... was possible !


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94290
Inscription : 10 sept. 2005 13:57
Contact :

Re: Counter Strike (C.S) : 39% des serveurs infectés par un malware

Message par Malekal_morte » 16 mars 2019 13:07

Oui effectivement, ce n'est pas énorme.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Securite informatique »