1 概述

近日，我們的網(wǎng)絡(luò)安全團隊通過網(wǎng)絡(luò)安全監(jiān)測發(fā)現(xiàn)利用“黑神話悟空修改器”傳播惡意代碼的活動，攻擊者將自身的惡意代碼程序與《黑神話：悟空》第三方修改器“風靈月影”捆綁在一起，再通過在社媒發(fā)布視頻等方式引流，誘導玩家下載。玩家一旦下載了帶有惡意代碼的修改器版本，在運行修改器的同時，也將在后臺自動運行惡意代碼，導致計算機被控制，產(chǎn)生隱私泄露、經(jīng)濟損失等風險。

《黑神話：悟空》作為國產(chǎn)首款3A游戲大作，千萬玩家在線狂歡，盡享盛宴。但玩家盡情在痛毆游戲中的BOSS（或被BOSS痛毆）的時候，也要小心網(wǎng)絡(luò)中的妖魔鬼怪、惡意代碼。祝玩家在游戲中都成為齊天大圣，在上網(wǎng)時也擦亮火眼金睛，穿上金甲戰(zhàn)衣。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對捆綁的惡意代碼的有效查殺。

2 樣本傳播渠道

1.利用視頻圖文引流，攜帶惡意釣魚網(wǎng)址

攻擊者在視頻網(wǎng)站、博客等平臺發(fā)布視頻、圖文等格式釣魚內(nèi)容，并在其中附帶捆綁木馬的游戲修改器下載鏈接，誘導用戶下載并執(zhí)行惡意程序。

圖 2?1通過視頻網(wǎng)站引流釣魚網(wǎng)址

圖 2?2通過發(fā)帖引流釣魚網(wǎng)址

2.警惕利用閑魚、淘寶等購物平臺傳播捆綁木馬

《黑神話：悟空》的大量“修改器”上架閑魚、淘寶平臺，售價在1~10元左右，這些修改器很多都標注稱是“風靈月影”，但實際上，該修改器均為完全免費軟件，在風靈月影的網(wǎng)站上就可免費下載。攻擊者可能會將攜帶惡意代碼的《黑神話：悟空》修改器掛到購物網(wǎng)站上引流，請廣大用戶謹慎購買。

圖 2?3 閑魚、淘寶平臺售賣大量修改器

3 樣本分析

3.1樣本標簽

表 3?1二進制可執(zhí)行文件

3.2樣本分析

樣本是一個Advanced Installer安裝包，執(zhí)行時會在桌面釋放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并執(zhí)行，該文件為正常修改器程序。另外還會啟動msi文件的安裝。該安裝包可使用/extract參數(shù)解包。

圖 3?1樣本安裝包

msi文件設(shè)置了執(zhí)行條件，不支持虛擬機中運行。

圖 3?2檢測虛擬機環(huán)境

其捆綁的惡意程序WindowsSandBoxC.exe存放在streams流中，會在運行正常修改器后執(zhí)行。

圖 3?3安裝包內(nèi)嵌的惡意程序

樣本偽裝圖標和數(shù)字簽名為Windows Sandbox組件，但與實際系統(tǒng)組件無關(guān)。

圖 3?4偽裝的圖標和數(shù)字簽名

樣本使用ZeroMQ庫在進程內(nèi)傳遞數(shù)據(jù)。攻擊者對樣本中的載荷下載地址中的符號進行了替換，實際的載荷下載地址為https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相關(guān)地址為騰訊云對象存儲服務(wù)。

圖 3?5利用ZeroMQ進行通信

相關(guān)下載代碼如下所示。

圖 3?6下載載荷

目前該載荷下載地址已失效，但通過情報關(guān)聯(lián)，可以發(fā)現(xiàn)其后續(xù)載荷還通過相同對象云存儲賬號下的多個位置下載了載荷。

圖 3?7關(guān)聯(lián)后續(xù)載荷

通過對其載荷下載地址中的騰訊云COS存儲桶ID進行關(guān)聯(lián)搜索，可發(fā)現(xiàn)近期在該騰訊云存儲賬號中還出現(xiàn)過多次惡意載荷，包括與目前活躍的“游蛇”（又稱銀狐）組織相關(guān)的攻擊樣本。

此外還發(fā)現(xiàn)多個其他軟件被捆綁的樣本，他們的行為中包含下載多個云存儲文件，以及類似%ProgramFiles%\Adobe\

圖 3?8更多被捆綁的樣本

建議企業(yè)用戶部署專業(yè)的終端安全防護產(chǎn)品，對本地新增和啟動文件進行實時檢測，并周期性進行網(wǎng)內(nèi)病毒掃描。加強網(wǎng)絡(luò)安全防護。