"게임 카운터스트라이크 생태계에서 발견된 대형 봇넷" 기사 스크랩

2019.03.16

"게임 카운터스트라이크 생태계에서 발견된 대형 봇넷" 

출처 보안뉴스 :  https://www.boannews.com/media/view.asp?idx=77719

* 요약 *

유명한 온라인 멀티플레이어 게임인 카운터스트라이크의 서버를 통해 대규모 봇넷이 만들어졌다.

가짜 카운터스트라이크 게임 서버를 신설해 접속하는 사람들의 기계(클라이언트)를 감염시킨 것이며

현재 카운터스트라이크 1.6게임 서버들 중 무려 39%가 악성이나 가짜 서버라고 한다.

현재 사용되고 있는 1.6버전은 굉장히 오래된 버전이며 그럼에도 불구하고

서버 동접자 수가 2만명을 유지해왔다. 그렇기 때문에 사이버 범죄자들에게 있어서 풍요의 땅이나

마찬가지이다. 게임의 구조를 설명하면 게이머들은 카운터스트라이크 전용 서버를 구매하고

그 서버에서만 게임을 진행하게 된다. 클라우드 프로세서 자원을 사용하여 카운터 스트라이크를

이용하는데 이렇게 하면 가정용 인터넷을 사용하는 것보다 안정적인 연결상태를 유지할 수 있다.

벨로나드라는 이름을 사용하는 한 서버운영자는 다른 사설 서버 운영자들에게 돈을 받고

광고를 해주기도 하였는데 카운터스트라이크 클라이언트에 있는 제로데이 취약점들을

익스플로잇하여 사용자들의 장비에 악성 트로이목마를 심는 방법으로 대규모 봇넷을 구성하였다.

벨로나드가 사용한 익스플로잇은 두 개의 원격 코드 실행 취약점으로 이전에도 보고된 적이

없던 것이라고 한다. 익스플로잇이되면 카운터스트라이크 사용자가 평소처럼 스팀 클라이언트를

열어 카운터스트라이크 서버를 선택하는데 악성 서버를 실행하게 되면 원격 코드 실행 취약점이

익스플로잇되어 악성 라이브러리가 사용자의 컴퓨터로 전송된다. 이 때 전송되는 것은

client.dll(Trojan.Belonard.1 또는 Mssv24.asi(Trojan.Belonard.5)중 하나이다.

현재 모방범죄를 막기위해 취약점의 세부내용은 공개되지 않았다고 한다.

감염이 일어나는 연쇄과정은 위의 두 가지 트로이목마는 가짜 밸브의 공식 서버를 가짜로 만든다.

이 벨브 게임 서버는 위에서 말한 카운터스트라이크 사설서버와는 다른 것이며 핑이 굉장히

낮게 설정되어 있다고 한다.

트로이목마는 또한 클라이언트에 나타난 진짜 게임 서버 목록을 편집한다.

그리고 감염시킨 컴퓨터의 프록시를 만들어 다시 트로이목마를 퍼뜨리도록 구성되어있다.

---

* 지극히 개인적인 나의 생각 *

낮은 버전의 유명게임들은 여전히 존재하고 아직까지도 높은 인기를 끌고있는 게임들이 많다.

그래픽이라던지 게임 진행스타일이라던지 이러한 것들이 유저들의 마음을 사로잡고

있기 때문이라고 한다. 그렇기 때문에 기사에서처럼 정말 쉽게 해킹이라던지 공격을

할 수 있는 것 같다. 또한 이런 글을 보면 아는 만큼 보인다고 뭔가 믿음이 가질 않게 될 것 같다.

그저 게임을 하고싶어서라는 이유인데 봇넷이 되고 공격을 당하고..우선적으로 게임을 만드는

회사에서 더 이상 개발을 하지 않더라도 유저가 즐기는 게임을 어떻게 안전하게 유지보수 할 것인지에

대한 대책이 필요한 것 같다. 물론 더 이상 이익이 되지 않아서 그러지 않을 수도 있고 취약점을

발견해내지 못해서도 그럴 수 있지만 책임감을 가지는 것이 필요할 것 같고 차라리 인기가 여전히

많다면 스타크래프트처럼 리마스터하는 것도 나쁘지 않은 것같다. 뭔가 느낌이 이번 공격도

이 게임자체가 취약한 것을 이용하여 정보를 탈취했다기보단 공격을 위한 통로가 된 느낌이기

때문에 더욱더 보안이나 해킹 지식이 없는 사람들이 당하기에 좋은 것 같다. 솔직히 나도

저 게임했으면 그저 즐기기 위함이었을 것이라 당했을 것 같기도 하다.. 

검증된 정식서버를 사용하는 것이 제일 베스트인 것 같다. 

---

* 공격 원리 *

취약점을 공개하지 않았기에 정확히는 알 수 없지만 이번 공격은 RCE(Remote Code Execution)

 취약점이다. 응용프로그램이 적절한 입력 이스케이프 유효성 검사 없이 쉘 명령을 실행하기 때문이다.

카운터 스트라이크 같은 게임은 타이밍이 중요하기 때문에 플레이어들의 원활한

환경에서의 게임을 원하는 심리를 이용했다고 할 수 있다. 이 게임은 플레이어가 

원활한 핑을 가진 서버와 자동으로 연결되거나 수동으로 선택할 수 있는데

그렇기 때문에 클라이언트들에게 아주 원활한 서버인 것 처럼 보여진다.

이 Trojan.Belonard에 감염되면 게임 클라이언트에서 사용 가능한 게임 서버목록을 대체하게되며

감염된 컴퓨터에 프록시를 생성하여 Trojan을 전파하게 된다. 일반적으로 프록시서버는

낮은 ping을 표시하기 때문에 다른플레이어들에게 제일 위의 목록에 프록시서버가 보여지게 된다.

다른 유저들도 이에 원활한 게임이라는 것에 유혹될 것이고 이렇게 올려진 것중 하나를 선택하게되면

플레이어들은 그들의 컴퓨터가 Trojan에 감염되는 악성서버로 리다이렉션된다. 이렇게

연쇄적으로 Chain of Attack을 일으키게되는 원리이다.

참고 : https://news.drweb.com/show/?i=13135&lng=en