作者: 来源: 发表时间:2010-12-20 09:34 
网游密码是如何失窃的
一般来说,恶意用户只对受害者的用户名和密码感兴趣,而不是受害者所处的服务器地址。恶意用户知道受害者在哪个服务器上玩游戏,并且很可能他也是同一个服务器上的玩家。不管窃贼是在私服上还是官方服务器上情况都是这样的,尽管在私服上的用户失窃的可能性更大些。我们来看看网络罪犯窃取密码的一些方法。
社会工程学
网络罪犯的方法之一就是进入游戏服务器中的某个游戏或者论坛,提供奖励或者提供游戏中的帮助,以此来交换其他玩家的密码。这种网络罪犯并不像看起来那么幼稚。事实上,那些想要在游戏中更轻松些,那些对这种“帮助”做回应的那些玩家才是幼稚的。恶意用户达到了自己的目的(得到密码)并拿走受害者的一切。
另一种人们比较熟知的社会工程方法就是钓鱼软件,网络罪犯发送让受害者以为是来自管理员的钓鱼邮件,邮件中请玩家通过某个链接的网站验证自己的账号。
发掘游戏服务器的漏洞
游戏服务器包含系统服务、程序以及支持游戏性的数据库。跟其他软件一样,服务器代码也同样存在程序错误以及bug。网络罪犯可以寻找此类潜在漏洞,以便访问服务器数据库、收集玩家密码或者密码哈希表(加密的密码,使用专门的破解工具可以破解)。
例如,游戏中玩家之间的聊天系统就存在一个已知的漏洞。如果聊天系统没有与游戏数据库隔离,并且系统不检查特殊字符/命令,那么恶意用户就可以从玩家的聊天中直接访问玩家数据库,无论是手动进行或者使用专用工具都可以做到这一点。
恶意用户可以发掘的漏洞的数量取决于服务器本身。在私服上创建专门针对漏洞的补丁需要花费大量的时间,比在官方服务器上要多的多(当然,这还得要私服的管理员认为有打补丁的必要)。
另一种获得密码的方法,就是利用系统提醒用户遗忘的机制。网络罪犯发送他们伪造的请求给系统(或者使用穷举方法,列举可能的密码提示问题答案),然后修改受害者的密码并登陆进游戏,而用户是毫不知情的。
发掘服务器的漏洞做起来很复杂,而攻击者也需要花费一番心思来筹备和发起攻击。很多时候他们都是白白浪费了时间和精力,因为很多黑客不具备成功进行攻击的技术。
使用恶意软件
那些图谋不轨的用户通常会开发些恶意软件,然后让它们用尽各种方法广泛传播:
把恶意程序链接放到玩家信息发布区,声称那时游戏补丁;
在游戏中散发带有恶意软件的链接的垃圾邮件,说那是新补丁;
通过文件共享网络散播恶意程序;
利用浏览器的漏洞让用户访问游戏相关的网站时下载恶意程序。
网络罪犯多半是在游戏中发布恶意程序链接,或者在消息留言板上留言说那是新补丁/工具/附件,并鼓吹它会如何帮助玩家更方便地游戏。
有些恶意软件只攻击网络游戏玩家,还有些恶意软件是专门用来切去各种密码的(包括网络游戏的密码)。根据卡巴斯基实验室的归类,攻击者使用最广泛的、窃取网游密码的程序就是Trojan-PSW.Win32系列以及Trojan.Win32.Qhost系列的变种。
第一组木马使用传统方法收集键盘输入的数据;如果玩家在被感染的计算机上输入他/她的密码,服务器名称以及其他信息,恶意用户就可以访问到这些信息。
第二组的木马会修改%windir%\system32\drivers\etc\hosts。该文件包含了网址与服务器的名称的静态关联信息。如果有人在该文件中输入假的游戏服务器地址,游戏客户端就会连接到恶意用户的服务器上(会把密码也发过去)。
值得注意的还有一些Trojan-Spy.Win32.Delf的变种。该系列在IE中设置错误的代理服务器,然后用该服务器连接到网络游戏的服务器(这种情况下,就像上面讲的主机文件那部分一样,所有的用户登录数据都会发送到恶意用户手中)。对于那种用户不需要输入密码的网络游戏(专门为了帮助用户抵御Keylogger的一种措施),恶意用户无法得到字母或符号组成的密码,但是他可以通过游戏截图来得到密码。
有些Trojan-PSW.Win32变种会钩住特定网站的网络表单。这些表单也是用来收集用户网络游戏密码的。很多游戏服务器都允许对统计数据的访问,或者是输入用户名和密码、通过服务器的网页界面来访问其他跟游戏有关的信息。在用户发送用户名和密码的时候,恶意用户就能窃取这些信息了。
偷来的密码通过电子邮件、即时消息、FTP服务器或者可访问的某网络、或者通过互联网、FTP、共享文件目录中的包含密码的文件夹发送给恶意用户。
由于用恶意软件窃取密码太简单了(恶意用户不需要任何技术技巧)并且太划算了,恶意用户最多使用的就是这个方法。
窃取密码的恶意软件的进化过程
进化的动力来自于自然选择。杀毒软件是计算机抵御恶意软件的首道防线,而它还在窃取网络游戏密码的恶意软件的进化过程中扮演了重要角色。防御力越强,就越难规避之;相应地,恶意软件也变得更复杂。
第一个网络游戏的恶意程序很原始,但是现如今,他们使用最新的恶意软件编写技术。恶意软件的进化分三个部分:密码窃取功能的进化,该功能将数据发送给恶意用户(Trojan-PSW程序, Trojan-Spy程序);传播技术的进化(蠕虫和病毒);恶意软件对防毒程序的自防御技术的进化(Rootkits,KillAV,还有packer等)。
木马
对用恶意程序窃取用户网络游戏密码的第一份记载是在1997年,当时,防毒软件公司开始从Ultima网络游戏玩家那里收到电子邮件,邮件中包含了供他们分析的恶意软件。最开始,这些恶意程序都是典型的Keylogger。Keylogger就是一些木马,它们跟网络游戏没有直接联系;它们只是记录用户敲得所有字符(包括网络游戏的密码)。
第一个专门以MMORPG密码为目标的恶意软件就是Trojan-PSW.Win32.Lmir.a,2002年底出现。这是用Delphi编写的单个程序。在预先设定好的间隔内,它会搜索系统中以“传奇2”命名的窗口,然后把该窗口中输入的所有数据用电子邮件发送给恶意用户。该恶意软件是在中国开发的;它并不是完全原创的开发,看起来似乎也不可肯能会广泛传播。但是,就这么一个简单而不起眼的木马,很快成为了恶意用户在MMORPG中窃取密码的经典工具。有人将该木马的源代码在网络上发布,随后又有人将它修改成窃取其他网络游戏密码的工具——这相当简单。只要修改了目标游戏的名字(例如,改成“枫之谷”),该木马就会从该游戏窃取密码。只需这样简单的修改,很快就能将该木马广泛传播下去,波及更多网络游戏。
Trojan-PSW.Win32.Lmir的传播以及大量变种形成主要由于以下几个因素:
1.Trojan-PSW.Win32.Lmir的原始目标《传奇》大受欢迎。
2.该游戏使用了大量的服务器。
3.能够利用IE的漏洞来传播该木马——恶意用户劫持游戏服务器网站,加入脚本,使其在用户计算机上下载并运行木马。
4.涌现了30多种Trojan-PSW.Win32.Lmir构造器(Constructor.Win32.Lmir——创建和配置窃取传奇2密码的木马的专门软件)一旦人们发现Trojan-PSW.Win32.Lmir很有效,恶意用户们就开始将其改写成窃取其他网络游戏的工具。其中比较成功的案例是Trojan-PSW.Win32.Nilage(针对天堂 2)还有Trojan-PSW.Win32.WOW(目标是魔兽世界玩家)。这2个木马分别在2004年和2005年出现,而现在仍然在恶意用户最喜欢用的程序之列,因为它们所针对的游戏仍然很受欢迎。大多数的此类木马都是从域名为.tw的网络游戏中窃取用户名和密码,然后把获得的数据通过电子邮件或者FTP服务器转移到.cn域名上。
大多数木马的目标都是特定的网络游戏。但是,2006年时出现的Trojan-PSW.Win32.OnLineGames.a,能够窃取几乎所有热门网络游戏的密码(显然是从受害者注册的服务器地址中窃取)。该木马所能攻击的网络游戏的数量还在不断增长中。
现在窃取网络游戏密码的木马其实就是一个用Delphi写成的动态库,它会自动连接到系统中运行的所有应用程序中。当它发现用户运行了网络游戏之后,该木马会通过键盘解读输入的密码,将其发送到恶意用户的电子邮箱中,然后将自己删除。使用动态库的好处就是,它可以在系统中隐藏自己,并且可以简化木马的安装过程,使用木马下载器、蠕虫或者其他恶意软件将木马装进受害机器。
蠕虫和病毒
现在网络游戏在一般用户中非常普及。因此,自我复制功能成为那些窃取网游相关密码的恶意软件的一个重要因素。这些软件要波及尽可能多的用户,不论用户在什么服务器或者玩什么游戏。
首个窃取网络游戏密码的蠕虫叫作Email-Worm.Win32.Lewor.a。该蠕虫自行发送到被感染计算机的Outlook Express地址簿中的所有邮箱中去。如果该蠕虫在被感染的计算机上发现了传奇的用户名、密码以及服务器地址,它就会将这些信息保存到恶意用户的FTP服务器上去。人们首次发现该蠕虫所引起的垃圾邮件泛滥事件是在2004年7月初的时候。
窃取网游密码的恶意程序都开始增加自我复制功能了。这些恶意软件可以通过一个叫作“autorun.inf”的文件将自己复制到移动硬盘,该文件会在感染硬盘连接到一台计算机的时候自动运行(不过只有在计算机允许这种自动运行操作的情况下才能成功感染)。如果用户将闪存接到电脑上,恶意程序会自动将自己复制到闪存中,那么闪存连到另一台电脑上的时候,恶意代码就会自动运行从而感染其他的可移动硬盘。(受害者包括打印或复印店的客户,他们有可能将要打印的材料放到闪存中拿去打印)。
很快又出现了能够感染可执行文件的恶意程序,并且他们能将自己复制到网络资源中去。此类感染途径让病毒作者又多了种传播他们的病毒的方法,同时让防毒软件供应商又多了一项要解决的问题。一旦恶意程序能够将自己复制到很多用户都能访问的文件夹(比如,P2P共享或者微软网络共享文件夹),它们就能显著地增加受害者的数量。
卡巴斯基实验室把此类恶意程序归为Worm.Win32.Viking类。该类恶意程序的继承程序叫作Worm.Win32.Fujack,该蠕虫在大量散播恶意程序方面又进化了一大步。
目前,网游病毒作者们最新的成果就是各种各样的Virus.Win32.Alman.a和它的继承者,Virus.Win32.Hala.a。除了感染可执行文件,此类恶意程序还包含蠕虫功能(通过网络资源传播)还有rootkit功能(在系统中隐藏自己的踪迹)以及后门功能。被感染的计算机会连接指定的服务器,等待恶意用户的指令。恶意用户的指令可能是下载并执行卡巴斯基实验室归为Trojan-PSW.Win32.OnLineGames类的恶意程序。
Alman.a 和Hala.a都含有不会感染的可执行文件的列表。除了那些属于其他恶意软件的文件,该列表中还包含了网络游戏客户端的文件。为什么要包含着这种文件呢?
网络游戏本身以及防病毒措施都会阻止被修改过的可执行文件启动,恶意用户考虑到了这一点——他们可不希望用户无法在被感染的计算机上玩游戏。毕竟,感染了Trojan-PSW.Win32.OnLineGames的受害计算机可以让网络罪犯获得玩家的密码。
网络游戏中恶意软件的自动防御技术
通过不断地与防毒公司斗智斗勇,病毒制造者们学会了在病毒中实现自防御技术,这种技术能够帮助病毒不被杀毒软件检测到。
第一步是使用打包的方式——这是为了让代码避开签名扫描功能。打包可以保护程序代码不被分解,使人们更难分析恶意程序。下一个阶段,他们开始使用kill-av技术,该技术可以关闭计算机的安全措施或者让防毒软件无法发现恶意软件。网络游戏中的恶意软件自防御技术的最新成果就是rootkit技术。Rootkit技术能够将恶意软件隐藏起来,避开杀毒软件和所有系统进程。当今的MMORPG恶意软件通常都是同时使用这三种技术。
例如,天堂2在亚洲很受欢迎,而WOW则在美国和欧洲更受欢迎一些。针对这两款游戏的木马,比如Trojan-PSW.Win32.Nilage(窃取天堂2密码)以及Trojan-PSW.Win32.WOW (针对WOW)都显著地进化了。前一个木马使用打包技术,使自己不容易在扫描签名的时候被发现,从而隐藏自己的行踪,不会被杀毒软件扫描到。第二个木马则直接关闭虚拟机上的安全功能。
【相关文章】
