熱門線上遊戲檔遭加料！查出網軍惡意程式，英雄聯盟百萬玩家恐遭駭

臺灣平均每天有100萬人次上線的熱門線上遊戲英雄聯盟（LOL），以及其他2款由遊戲代理商Garena代理的線上遊戲：流亡黯道和FIFA Online3，在2014年11月中旬～12月下旬時，被發現該公司數位簽章遭竊，導致該公司在官網上供玩家下載的遊戲程式被駭客加料，除正常遊戲檔案外還免費贈送一個網軍常用的惡意程式PlugX。

臺灣資安社群HITCON以及臺灣漏洞回報公益平臺共同揭露這樣的受駭訊息，臺灣Garena除了在2014年12月31日在官網上正式公開道歉，並允諾提供玩家可以下載一套F-Secure正版防毒軟體之外，目前也已經在新的伺服器上，完成所有受駭遊戲程式的更新。有資安疑慮的玩家，可以直接在官網重新下載遊戲程式，也可以使用趨勢科技提供的免費清除工具進行掃描。

包括英雄聯盟在內，有3款線上遊戲檔案被駭客加料

資安研究員也是英雄聯盟玩家Kenny，日前在HITCON Free Talk的場合中表示，一般而言，玩家下載遊戲程式管道有2種，一種是透過官網下載器從遊戲原廠的雲端服務下載遊戲程式，另外一種則是從官網直接下載。此次發現英雄聯盟下載的遊戲被加料的版本，則是從官網直接下載的版本。

將英雄聯盟加料的惡意程式上傳VirusTotal則發現，早在2014年11月11日，就已經有人將該版本的惡意程式上傳測試，到11月12日則發現一個最早的駭客中繼站域名解析記錄；由Garana代理的另外一款遊戲流亡黯道的遊戲也同樣被駭客加料，在11月21日就發現有人將該惡意程式同樣上傳VirusTotal進行測試。Kenny表示，上傳Virustotal是駭客和資安研究員都會做的事情，就是想測試，市面上既有的防毒軟體是否可以順利偵測到該惡意程式。

一直到12月2日，有玩家在PPT上張貼被中國防毒軟體360偵測到有惡意程式；12月3日則被卡巴斯基偵測到有惡意程式，但官方客服中心的回覆都是「沒有中毒」、「沒有被植入惡意程式」。到12月21日則有玩家公布Virustotal掃毒結果，代理商Garena則在12月23日更新程式，但中國網軍所使用的後門程式還存在。12月29日更新的檔案才是正常版，但是，FIFA Online3的程式，到1月5日由臺灣漏洞回報公益平臺測試後，該款遊戲還沒有更新成無毒的正常程式。

從第一個上傳英雄聯盟遊戲的惡意程式到VirusTotal，到臺灣Garena發布資安公告，這一個多月的過程中，並不清楚有多少玩家陸續下載這個加料的遊戲軟體，但是，在臺灣的代理商沒有辦法解決玩家所面臨的資安疑慮，也是造成玩家權益未能獲得保障的重要原因。

而在臺灣漏洞回報公益平臺中，也有白帽駭客揭露Garena供玩家下載的3款遊戲遭駭，提報該漏洞的資安研究員Kenny到1月13日晚上也更新後續進度。目前英雄聯盟、流亡黯道和FIFA Online 3的數位簽章，都已經各自換成沒有後門的數位簽章，但他特別提醒，「惡意程式簽署的2014.9.25數位簽章依然有效」，目前在VirusTotal上已有17家防毒廠商可偵測到惡意程式，業者應該重新申請數位簽章。

遊戲檔內含網軍常用惡意程式，手法難以察覺

這個過程中，資安業者臺灣威瑞特（Verint）資安研究長叢培侃表示，他們在12月17日在其政府部門的客戶電腦中發現，有員工下載流亡黯道的遊戲軟體，並持續連線到惡意的中繼站，包括：gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw，也對應到2個IP：192.126.118.198及202.65.214.220，分別在香港和洛杉磯。進一步研究則發現，這個遊戲被加料的惡意程式，是過往常見於中國網軍所使用的惡意程式PlugX總共有三型中的第一型（Type 1）。

叢培侃表示，這個惡意程式PlugX非常先進，不僅是走Http通訊協定，利用的手法都是直接修改系統的程式，只有少部分是不正常的系統程式，因此很難被察覺，此次，駭客便利用Dll Path Hijacking（Dll路徑挾持）攻擊手法，利用載入Dll不同優先順序的技巧，將惡意程式隱藏在正常的程式中。

此外，該惡意程式則繞過UAC（使用者帳號控制）功能，讓電腦系統不會提醒使用者有任何軟體安裝或系統調整。再者，PlugX支援包括TCP、UDP和ICMP等通訊埠，防火牆根本難以阻擋；除了有鍵盤側錄功能，還加上具備許多遠多遙控功能，包括連線（Connection）、傳檔（File）、擷取（Capture）、下指令（Cmd）、設定（Registry）、啟動服務（Service）和啟動程序（Process）等功能。目前PlugX常見於亞洲和美國。

駭客鎖定遊戲業者發動攻擊，大型網遊業者都受駭

這個惡意程式雖然常見於網軍中，但連線的中繼站IP位址，卻可以從資安公司Command Five在2011年9月發布的一份資安報告中可以發現關連性；卡巴斯基在2013年4月則將該惡意程式命名為Winnti，主要是有一群專門針對遊戲產業攻擊的駭客組織，會將PlugX（或稱Winnti）設法植入各個遊戲公司的電腦中。就目前所知，韓國每一間線上遊戲業者，都曾經嚴重受駭，其他受駭遊戲業者的國家還包括：中國、俄羅斯、白俄羅斯、德國、美國、巴西、祕魯、印尼、泰國、越南、臺灣和日本等國。

資安研究員GD分析這次的惡意程式對企業造成的損害，包括：偷取遊戲原始碼；偷取數位簽章，將惡意程式簽章成為合法程式；偷取虛擬貨幣寶物；偷取玩家個資；以及將線上遊戲更新程式，內建一個惡意程式。除了偷取虛擬寶物的意圖不明顯，其他都可以沾得上邊，尤其是，將遊戲的更新程式綑綁一個惡意程式供玩家下載，更是此次新的攻擊手法。

不過，偵辦網路與數位犯罪的警察單位表示，從許多「遊戲私服」的存在，就可以看出，許多遊戲業者的資安防護不足，導致許多線上遊戲的原始碼，早已經外洩。而他也說，許多遊戲原廠會針對各國不同的語系，釋出不同語系的遊戲原始碼檔案給代理商，不僅原廠遊戲原始碼有外洩的風險，許多臺灣遊戲代理商也有外洩正體中文語系遊戲原始碼的風險。

他指出，在2014年，臺灣就有某家遊戲業者私底下「諮詢」過，外洩遊戲原始碼後的因應對策。該名警官表示，許多遊戲業者受駭後，往往都不敢報案，但更關鍵的問題在於，這些遊戲業者連基本的Log收集都沒有，即使報案，警方和資安公司也都無力提供協助。

類似APT受駭事件，不應該當做中毒事件處理

臺灣威瑞特（Verint）技術長邱銘彰表示，Garena剛開始因為沒有意識到事態嚴重而疏於處理，但隨著揭露的訊息越來越多，該公司包含新加坡的技術人員，也都緊急飛來臺灣協助更新遊戲程式，並試圖找出問題所在。「願意正面面對資安議題，就值得肯定。」他說。

Garena也在官方網站指出，在確認問題後，Garana透過第三方網路安全公司協助進行全公司掃描，除了清除已知威脅，並將有問題的檔案，重新將遊戲檔案安裝在新的伺服器中並上架，提供玩家下載使用。事件過後，Garana也表示，目前除了強化員工的資安訓練，也會改善提供玩家檔案的流程，並將透過第三方資安公司合作，杜絕類似問題再度發生。

不過，邱銘彰特別提醒，這次的遊戲下檔被植入網軍常用的惡意程式，雖然有可能是某個特別鎖定遊戲產業的駭客組織所發動的攻擊行為，但他認為，面對這種類似APT的攻擊威脅時，受駭企業都不應該當做一般的病毒攻擊事件來解決，應該要第一時間提高應有的防護層級，後續也應該建立單一的資安事件通報窗口，避免此次威瑞特想要通報Garena遇到的資安事件時，無法順利找到適當的通報窗口。

而臺灣趨勢科技免費惡意程式清理工具Trend Micro Clean Tool，也針對PlugX更新相關的病毒碼，供玩家免費使用。

線上遊戲代理商Garena在去年11～12月中，發生總共3款遊戲，因為數位簽章遭竊，導致供玩家下載的遊戲檔案，被植入網軍常用惡意程式PlugX。多位資安研究專家日前也在HITCON Free Talk的場次中，分享該起事件的攻擊手法和可能的影響。