Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Vulnerabilidad en CounterStrike 1.6
#1
Si usted es un jugador de Counter-Strike, tenga cuidado, ya que el 39% de todos los servidores de juego de Counter-Strike 1.6 disponibles en línea son maliciosos que se han configurado para hackear remotamente las computadoras de los jugadores.


El juego Counter-Strike 1.6 fue lanzado por Valve Corporation en 2000. A pesar de su considerable edad, todavía tiene una gran base de fans. El número de jugadores que utilizan los clientes oficiales de CS 1.6 alcanza un promedio de 20,000 personas en línea, mientras que el número total de servidores de juegos registrados en Steam supera los 5,000. La venta, el alquiler y la promoción de servidores de juegos ahora se consideran un negocio real, y estos servicios se pueden comprar en varios sitios web. Por ejemplo, elevar el rango de un servidor por una semana cuesta aproximadamente 200 rublos, que no es mucho, pero un gran número de compradores hacen de esta estrategia un modelo de negocio bastante exitoso.

Muchos propietarios de servidores de juegos populares también recaudan dinero de los jugadores mediante la venta de diversos privilegios, como la protección contra prohibiciones, el acceso a armas, etc. Algunos propietarios de servidores se anuncian a sí mismos de forma independiente, mientras que otros compran servicios de promoción de servidores a contratistas. Habiendo pagado por un servicio, los clientes a menudo no tienen en cuenta cómo se anuncian exactamente sus servidores. Al final resultó que, el desarrollador apodado, "Belonard", recurrió a medios ilegales de promoción. Su servidor infectó los dispositivos de los jugadores con un troyano y usó sus cuentas para promocionar otros servidores de juegos.

El propietario del servidor malicioso utiliza las vulnerabilidades del cliente del juego y un troyano recién escrito como base técnica para su negocio. El troyano es para infectar los dispositivos de los jugadores y descargar malware para asegurar el troyano en el sistema y distribuirlo a los dispositivos de otros jugadores. Para eso, explotan las vulnerabilidades de ejecución remota de código (RCE), dos de las cuales se encontraron en el cliente oficial del juego y cuatro en el pirateado.

Una vez configurado en el sistema, Trojan.Belonard reemplaza la lista de servidores de juegos disponibles en el cliente del juego y crea proxies en la computadora infectada para propagar el troyano. Como regla general, los servidores proxy muestran un ping inferior, por lo que otros jugadores los verán en la parte superior de la lista. Al seleccionar uno de ellos, un jugador se redirige a un servidor malicioso donde su computadora se infecta con Trojan.Belonard.

Usando este patrón, el desarrollador del troyano logró crear una red de bots que constituye una parte considerable de los servidores de juego CS 1.6. Según nuestros analistas, de los 5,000 servidores disponibles del cliente oficial de Steam, 1,951 fueron creados por el troyano Belonard. Esto es el 39% de todos los servidores de juegos. Una red de esta escala permitió al desarrollador del troyano promocionar otros servidores por dinero, agregándolos a las listas de servidores disponibles en los clientes de juegos infectados.

Anteriormente informamos un incidente similar con CS 1.6, donde un troyano podría infectar el dispositivo de un jugador a través de un servidor malicioso. Sin embargo, un usuario tuvo que aprobar la descarga de archivos maliciosos, mientras que esta vez, un troyano ataca los dispositivos que los usuarios no han notado. Doctor Web ha informado a Valve sobre estas y otras vulnerabilidades del juego, pero a partir de ahora, no hay datos sobre cuándo se solucionarán las vulnerabilidades.

Infección de un cliente
Trojan.Belonard consta de 11 componentes y opera en diferentes escenarios, dependiendo del cliente del juego. Si se usa el cliente oficial, el troyano infecta el dispositivo utilizando una vulnerabilidad de RCE, explotada por el servidor malicioso, y luego se establece en el sistema. Un cliente pirata limpio se infecta de la misma manera. Si un usuario descarga un cliente infectado desde el sitio web del propietario del servidor malicioso, se garantiza la persistencia del troyano en el sistema después del primer lanzamiento del juego.

[Imagen: belonard_02_en.1.png]




Vamos a tocar el proceso de infectar a un cliente con más detalle. Un jugador lanza el cliente oficial de Steam y selecciona un servidor de juegos. Al conectarse a un servidor malicioso, explota una vulnerabilidad de RCE, cargando una de las bibliotecas maliciosas en el dispositivo de la víctima. Dependiendo del tipo de vulnerabilidad, se descargará y ejecutará una de las dos bibliotecas: client.dll (Trojan.Belonard.1) o Mssv24.asi (Trojan.Belonard.5).

Una vez en el dispositivo de la víctima, Trojan.Belonard.1 elimina cualquier archivo .dat que se encuentre en el mismo directorio con el archivo de proceso de la biblioteca. Después de eso, la biblioteca maliciosa se conecta al servidor de comando y control, fuztxhus.valve-ms [.] Ru: 28445, y le envía una solicitud cifrada para descargar el archivo Mp3enc.asi (Trojan.Belonard.2). El servidor luego envía el archivo cifrado en respuesta.

Esta es una captura de pantalla de un paquete de datos descifrados del servidor:



[Imagen: belonard_03.1.png]


Instalación en el cliente
La infección del cliente oficial o pirateado se realiza mediante la función específica del cliente de Counter-Strike. Cuando se inicia, el juego descarga automáticamente cualquier archivo ASI desde la raíz del juego.

El cliente descargado del sitio web del desarrollador del troyano ya está infectado con Trojan.Belonard.10 (el nombre del archivo es Mssv36.asi), pero el troyano se instala en el sistema de manera diferente a las versiones limpias de los clientes del juego. Después de la instalación de un cliente infectado, Trojan.Belonard.10 busca uno de sus componentes en el sistema operativo del usuario. Si no hay ninguno, suelta el componente de su cuerpo y descarga Trojan.Belonard.5 (el nombre del archivo es Mssv24.asi) en su memoria de proceso. Al igual que muchos otros módulos, Trojan.Belonard.10 cambia la fecha y la hora de creación, modificación o acceso al archivo, para que no se puedan encontrar los archivos del troyano ordenando el contenido de la carpeta por fecha de creación.

Después de instalar un nuevo componente, Trojan.Belonard.10 permanece en el sistema y actúa como un protector del cliente. Filtra solicitudes, archivos y comandos recibidos de otros servidores de juegos y transfiere datos sobre intentos de cambios al cliente al servidor del desarrollador del troyano.

Trojan.Belonard.5 recibe información sobre el proceso en ejecución y las rutas al módulo en DllMain. Si el nombre del proceso no es rundll32.exe, se inicia un subproceso independiente para acciones posteriores. En el hilo en ejecución, Trojan.Belonard.5 crea la clave [HKCU \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<ruta al proceso de archivo ejecutable>', le asigna el valor “RUNASADMIN”, y verifica el nombre del módulo. Si no es "Mssv24.asi", se copia a sí mismo en el módulo "Mssv24.asi", borra la versión con un nombre diferente e inicia Trojan.Belonard.3 (el nombre del archivo es Mssv16.asi). Si el nombre coincide, descarga e inicia inmediatamente el troyano.

La inserción en un cliente limpio se realiza mediante Trojan.Belonard.2. Después de la descarga, comprueba en DllMain el nombre del proceso en el que se carga client.dll (Trojan.Belonard.1). Si no es rundll32.exe, crea un subproceso con la clave [HKCU \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<ruta al proceso de archivo ejecutable>', y asignaciones Es el valor "RUNASADMIN". Después de eso, recopila datos sobre el dispositivo del usuario y extrae información del archivo DialogGamePage.res. Luego, envía los datos recopilados al servidor del desarrollador de troyanos en un formato cifrado.



Más Información https://news.drweb.com/show/?i=13135&c=23&lng=en&p=0
#2
hace muhco que no juego esto, jajaja me receuda los timepo que jugaba en el ciber cafe, gracais por la informacion esto es bastante util para que este mos informados y protegidos conrtra nuestra vulnerabilidad, aun que creo que son pocas las persona que aun juegan el Conter
[Imagen: Nexo_Firma.gif]
WWW
#3
(17-03-2019, 05:14 AM)ReyNexo23 escribió: hace muhco que no juego esto, jajaja me receuda los timepo que jugaba en el ciber cafe, gracais por la informacion esto es bastante util para que este mos informados y protegidos conrtra nuestra vulnerabilidad, aun que creo que son pocas las persona que aun juegan el Conter

En realidad lo juega mucha gente jajaja, al menos en Argentina.
WWW
#4
Hola, buen aporte compañero es bueno estar al tanto, aunque el 1.6 ya es historia...
#5
(18-03-2019, 06:08 PM)GonzaloMacedo escribió: Hola, buen aporte compañero es bueno estar al tanto, aunque el 1.6 ya es historia...

Gracias.
Si, es historia, tiene 20 años y lo siguen jugando.
Saludos
#6
No me preocupo nunca me gusto ese juego y nunca lo jugue jajaja
No me dejan poner mis web Triste
WWW
#7
orales hace muchos años que ya no lo juego pero de cualquier manera se agradece la informacion
#8
Counter strike, me suena a prehistoria, ¿ y para que sirve es ta vulverabilidad?
#9
(25-03-2019, 01:10 PM)javitocarapito escribió: Counter strike, me suena a prehistoria, ¿ y para que sirve es ta vulverabilidad?

Un atacante puede aprovecharse de este problema de seguridad para explotarlo y tener la posibilidad de ejecutar código arbitrario y robar cookies de autentificación de sesión para obtener información sensible de la víctima.

https://es.m.wikipedia.org/wiki/Ejecuci%...%C3%B3digo
#10
Bien explicado, gracias.

Ahora entiendo como se pirateaba antes las consolas, me acuerdo que en la wii, tenian que aprovechar un error de seguridad de uno de los zeldas, a partir de hay podria instalar una aplicacion casera que ya te daba acceso libre...


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  Vulnerabilidad De Adobe Pone En Riesgo OS X, Windows y Linux JorgeRivas09 3 556 19-04-2016, 01:46 PM
Último mensaje: betiko2424



Usuarios navegando en este tema: 1 invitado(s)