Аналитика: как воруют пароли в MMOG

Игра в онлайне Аналитика: как воруют пароли в MMOG 030.12.2007 05:30 пароль может добыть даже человек, мало знакомый с хакингом. Страшно подумать, но, задав в YouTube поиск по связке слов «wow+account+hack», вы найдете более 300 видеороликов о том, как украсть чужой пароль. Разумеется, находится множество желаю Игра в онлайне

Любой мало-мальски подкованный онлайн-гeймер, если, конечно, он подключился к интернету не неделю назад и уже освоил несколько онлайновых игр, отлично представляет себе, чем отличается онлайновый космосимулятор от MMORPG, ему не нужно объяснять, что такое хедшот и джибзы, как расшифровываются аббревиатуры WoW или GW. И тем не менее для большинства гeймеров любая MMOG все равно что Матрица они находятся внутри и поэтому мыслят категориями игры: гeймплей, сторилайн, квесты, экспа, юниты...

Но, как и в Матрице, в любой MMOG всегда найдется свой хакер Нео. Вот только не всегда этот Нео оказывается белым и пушистым. Пpaктически на любом сервере найдется человек, более или менее знакомый с основами хакинга и крэкинга. Человек, жаждущий взломать игру, стать в ней богом покруче, чем администратор.

Как действуют эти люди? Какими способами они добиваются своих корыстных целей? Как защититься от них? Со всеми этими вопросами мы обратились к одному из самых компетентных людей в области анализа вредоносных программ, нацеленных на кражу паролей и виртуальной собственности в онлайн-играх. Обо всех хитростях сетевых мошенников и о том, как с ними бороться, нам рассказал Сергeй Голованов, вирусный аналитик «Лаборатории Касперского».

Бесхитростные цели

Для начала давайте отрешимся немного от внутриигровых процессов и от гeймплея и взглянем на игру со стороны. С paкурса, который гeймеры используют крайне редко. Любая MMOG это клиент-серверное приложение. Клиент отправляет запрос, а сервер на него отвечает. Запрос и ответ это сетевые пакеты (обычно TCP/IP), содержащие все действия клиента, и реакция на них сервера. Учитывая, что создание сетевых пакетов легко реализуется на языке программирования Java, то и пиратских серверов, написанных на нем, немало.

Разработчики MMORPG стараются следить за самыми крупными фишинговыми рассылками и своевременно предупреждают гeймеров об опасности.

Сервер представляет собой большую базу данных с множеством дополнительных приложений и служб. Ну а клиент он и в Африке клиент. Когда вы, например, передаете что-то в игре другому персонажу, игровой клиент отправляет запрос, и если все проверки проходят успешно, в базе данных происходит смена имени владельца вещи. Проверки неизбежны, без них игра превратилась бы в хаос. Но их всегда можно обойти, обмануть или взломать. Представьте себе, что вы можете обойти проверку на заточки в Lineage 2 или на скиллы в World of Warcraft. Заманчиво? Очень!

Из структуры работы сервера становится понятно, что любых целей в MMOG можно достичь, не только находясь в ней и играя по правилам, но и если посмотреть на нее со стороны технологий, с использованием которых написан тот или иной тайтл. Те, кто играет по правилам, добросовестные пользователи, другие злоумышленники. Опять же, следуя логике, понятно, что хакеры могут обратить свой взор и на сервер, и на клиенты. Атаку на сервер, учитывая всю его сложность и защиту, обычно называют «хакингом», более же простую атаку на клиенты, учитывая их довольно слабую защиту, на жаргоне принято называть «избиением».

В игре, как и в любой другой информационной системе, можно сделать все, что душе угодно, надо только знать секрет. Применительно к MMOG секрет это пароль от сервера или от клиента. Пpaктически все злонамеренные действия хакеров связаны с конкретными серверами онлайн-игр. И если говорить об атаках на пользователей, то, как правило, злоумышленника интересуют только имя и пароль жертвы без адреса сервера, на котором эта жертва зарегистрирована. Откуда же хакер узнает, на каком сервере играет его мишень? Все просто: обычно хакер тоже играет в эту же MMOG, только помимо разрешенных способов прокачки и получения ценностей использует нелегальные методы. Рассмотрим основные способы, которые злоумышленники используют для получения чужого пароля.

География проблемы

Самая большая армия онлайн-гeймеров обитает сейчас в азиатском регионе. Как следствие, большинство игровых вирусов имеют отчетливый «желтый» след. Более 90% всех троянских программ для онлайн-игр пишутся в Китае, а 90% паролей, которые воруют эти троянцы, принадлежат южнокорейских игрокам. В Европе черви и троянцы, ворующие пароли к онлайн-играм, появляются куда реже, число модификаций таких вируса тоже крайне мало. В России число поклонников MMORPG неуклонно растет, но по сравнению с Европой, США и уж тем более с азиатскими странами, мы далеко позади. Зато у нас крайне популярны браузерные RPG. Главная особенность атак в рунете использование фишинга для распространения вредоносного ПО. Например, в Сети постоянно появляются сайты-клоны одной из самых популярных браузерок «Бойцовский клуб» (да и многих других игр тоже).

Социальная инженерия

Социальная инженерия звучит грозно, но на самом деле речь идет об использовании доверчивости простых гeймеров, а иногда и о бaнaльном незнании ими принципов работы игрового сервера. Рассмотрим простой пример. В игре или на форуме сервера игрокам открытым текстом предлагается отдать свои пароли стороннему лицу для получения каких-нибудь бонусов или для оказания какой-то помощи в игре. Злоумышленник, делающий такое предложение, не так наивен, как кажется на первый взгляд. Скорее, наивными и доверчивыми оказываются игроки. В результате хакер, воспользовавшись паролями, оставляет своих жертв ни с чем.

Причем зачастую пароль может добыть даже человек, мало знакомый с хакингом. Страшно подумать, но, задав в YouTube поиск по связке слов «wow+account+hack», вы найдете более 300 видеороликов о том, как украсть чужой пароль. Разумеется, находится множество желающих попробовать их. И, разумеется, 99% этих людей банят после того, как они попытаются совершить в игре какое-то неразрешенное действие.

Еще один метод, используемый злоумышленниками, рассылка так называемых фишинговых писем якобы от имени администрации сервера, где под тем или иным предлогом предлагают «пройти аутентификацию» на указанной веб-странице. Данный способ широко использовался в рунете для браузерных онлайн-игр, но и для больших MMORPG его применяют достаточно часто, на игровых серверах нередки новости о фишинговых атаках.

Вот пример простейшего фишинг-послания (письмо вполне реальное, на него попалось немало гeймеров): «Здравствуйте, вы получили это письмо, так как являетесь зарегистрированным пользователем нашего сервера (www.lineage2.su). В связи с тем, что количество зарегистрированных пользователей нашего сервера за последний месяц резко возросло, мы вынуждены произвести чистку нашей базы данных (неиспользуемых аккаунтов). Для подтверждения того, что вы еще играете на нашем сервере, вам необходимо пройти аутентификацию на этой странице. Если вы не прошли аутентификацию в течение 48 часов с момента получения этого письма, ваш аккаунт будет удален без возможности восстановления».

Однако способы получения пароля при помощи социальной инженерии, несмотря на свою простоту и эффективность, не могут принести большую прибыль злоумышленнику, так как на его удочку не попадутся продвинутые и, соответственно, самые «богатые» игроки. Хотя никто не гарантирует, что мошенничество с чужим паролем раскроется сразу после его хищения, ведь были случаи, когда злоумышленники по году накапливали базы украденных паролей, а затем разом отнимали их у владельцев и продавали за довольно хорошие деньги.

Уязвимости игрового сервера

Игровой чат Lineage 2  именно здесь хакеры чаще всего публикуют ссылки на зараженные троянами утилиты, крадущие пароли от игры.

Поскольку игровой сервер представляет собой набор системных служб, программ и баз данных для обслуживания игрового процесса, то, как и с любым другим софтом, в коде сервера есть ошибки, сделанные разработчиками. Обычно это лишь потенциальные уязвимости, которые еще нужно найти. Но уж если хакер их обнаружит, то может получить доступ к базам данных сервера и выудить из них любые пароли или хэши паролей (пароли в зашифрованном виде, для дешифрования используются специальные программы).

Известна, например, уязвимость, связанная с чатом в Lineage 2. Чат там обычный, написанный на Java-скриптах. И именно через него возможна хакерская SQL-инъекция. Количество и «качество» уязвимостей, через которые злоумышленник может получить доступ к внутренним базам данных сервера, зависит от его статуса. На пиратских серверах создание специальных заплаток, закрывающих уязвимости, занимает намного больше времени, чем на официальных (если, конечно, администратор пиратского сервера вообще решит закрыть уязвимость).

Столь же часто хакеры получают в свои цепкие лапки конфиденциальную информацию через дыры в системе восстановления забытого пароля. Злоумышленник с помощью специально сформированного запроса к системе (либо просто перебирая ответы на вопросы, заданные пользователем для смены пароля) заменяет чужой пароль на свой собственный. Истинный хозяин аккаунта после этого оказывается не у дел. Этот метод воровства использовался в самых разных играх; создателям Lineage 2, например, в свое время именно по этой причине пришлось переписать с нуля всю систему восстановления паролей.

Впрочем, использование программных уязвимостей сервера достаточно сложное занятие с технической точки зрения, подготовка и проведение атаки требуют значительных усилий со стороны хакера. Но и результат обычно оправдывает ожидания хакер может получить в собственность высокоуровневых персонажей с множеством ценных предметов и выгодно продать их на аукционе еще до того, как администрация поймет, что случилось, и заблокирует аккаунт.

Трояны и прочие беды

Более сложный для хакеров способ обокрасть честных гeймеров использование вредоносных программ, которые распространяются самыми разными способами. На форумах под видом ссылки на дополнение размещаются трояны. В самой игре проводятся спам-рассылки линков, замаскированные под «новый патч». Вирусоподобные ехе-файлы десятками тысяч разлетаются по электронной почте, через файлообменные сети, просачиваются на компьютеры гeймеров через уязвимости веб-браузеров.

Фрагмент файла, зараженного вирусом Virus.Win32.Alman.a.

Существуют как узкоспециализированные игровые вирусы, атакующие только игроков в MMOG, так и утилиты широкого профиля, которые тащат с винчестера все логины и пароли без разбора. Наиболее распространенные вредоносные программы для кражи паролей к онлайн-играм по классификации «Лаборатории Касперского» относятся к категориям Trojan-PSW.Win32 и Trojan.Win32.Qhost. Первый тип троянцев часто использует классические приемы перехвата ввода с клавиатуры жертвы: если игрок напечатает пароль, адрес игрового сервера и другие свои данные на клавиатуре зараженного компьютера, эта информация становится доступна хакеру. Дальше все стандартно: злодей заходит в игру, меняет пароль прощай, аккаунт.

Второй тип троянцев работает с файлом hosts из директории System32\Drivers\Etc. Он содержит информацию о статическом соответствии сетевого адреса и имени сервера. При внесении в этот файл ложного адреса игрового сервера клиент будет проходить авторизацию не на настоящем сервере, а на сервере злоумышленника. То есть пароль будет напрямую передан хакеру.

Стоит упомянуть и некоторых представителей семейства Trojan-Spy.Win32.Delf, устанавливающих в настройках Internet Explorer подставной прокси-сервер для подключения к серверу онлайн-игры. В этом случае, так же как и при использовании файла hosts, все данные, связанные с входом пользователя в игру, передаются на хакерский сервер.

Украденные пароли передаются злоумышленникам по электронной почте, через интернет-мессенджеры, подгружаются на FTP-сервера или просто сбрасываются в расшаренную папку на винчестере гeймера.

Один из самых нашумевших случаев взлома MMORPG при помощи трояноподобных программ произошел несколько лет назад в игре The Legend of Mir. Хакеры подселили на заглавную страницу сайта www.legendofmir.net небольшой эксплойт, который перехватывал все логины и пароли гeймеров. В течение целых двух месяцев администрация ничего не знала о трояне, а потом в один прекрасный день хакеры прикарманили разом 70% всех персонажей, включая героев гeйм-мастеров. После этого администраторы наконец опомнились, вот только вернуть всех персонажей их законным владельцам у них так и не получилось.

Эволюция игровых вирусов

Первые вирусоподобные программы для взлома онлайновых игр имели весьма примитивную структуру, да и писали их чаще всего хакеры-недоучки, ведь лет десять назад мало кто воспринимал взлом MMOG как серьезный способ заработка. С тех пор многое изменилось. Сегодня перепродажей высокоуровневых аккаунтов в самых хитовых MMORPG можно заpaбатывать тысячи и даже десятки тысяч долларов. Логично, что и программы для взлома стали куда более совершенными.

Эволюция игровых вирусов шла в трех основных направлениях. Развитие и модернизация функции кражи пароля и доставки его злоумышленнику (трояны группы Trojan-Psw); совершенствование средств распространения самой программы (черви и собственно вирусы); самозащита вредоносной программы от антивирусов (руткиты, а также так называемые killav и packes). Рассмотрим каждую из категорий отдельно.

Троянские программы

Первые случаи воровства пользовательских паролей в MMORPG с помощью троянов были зафиксированы в 1997 году, когда в антивирусные компании стали приходить письма от игроков Ultima Online, содержащие вредоносное ПО для анализа. Поначалу это были в основном классические кейлоггеры троянские программы, не имеющие прямого отношения к онлайн-играм и осуществлявшие сбор всей информации, вводимой пользователем с клавиатуры.

Первым же трояном, ориентированным именно на воровство паролей из MMORPG, стал Trojan-PSW.Win32.Lmir.a. Появившись в конце 2002 года, он представлял собой простенькую программку, написанную на Delphi. Троян по таймеру искал окно с заголовком «legend of mir 2», а затем отсылал все вводимые в него данные на электронный адрес хакера. Lmir был написан в Корее, поначалу никто даже не думал, что у него будут продолжатели, однако довольно быстро именно этот простенький и неприметный троян стал стандартом де-факто хакерского сообщества, специализирующегося на краже паролей к MMOG. Исходные коды этого вируса просочились в интернет, и их начали модифицировать под другие онлайн-игры.

Учитывая, что программная основа была простой, Lmir быстро переориентировали с Legend of Mir 2 на другие MMORPG. Началась самая настоящая эпидемия, и до конца она не утихла до сих пор. Различные модификации трояна Lmir и сейчас помогают тысячам хакеров воровать пароли из онлайновых игр. Например, Trojan-PSW.Win32.Nilage, по сути, брат-близнец Lmir, он перехватывает пароли в Lineage 2. Trojan-PSW.Win32.WOW.a атакует игроков World of Warcraft.

Большинство подобных троянов ориентировано на воровство имен и паролей с серверов, расположенных в доменной зоне .tw, а украденные пароли они отправляют на почту или FTP-сервера в зоне .cn. Как правило, каждая троянская программа нацелена на определенную онлайн-игру. Однако в 2006 году появился Trojan-PSW.Win32.OnLineGames.a, который стал воровать пароли пpaктически ко всем популярным онлайн-играм (уже с адресами серверов регистрации), причем список «интересующих» его тайтлов постоянно растет.

Современный игровой троянец представляет собой динамическую библиотеку, написанную на Delphi, которая автоматически присоединяется ко всем приложениям, запущенным в системе. При обнаружении запуска онлайн-игры троянец осуществляет перехват ввода с клавиатуры пароля, после чего отправляет этот пароль на почту злоумышленника, а сам удаляется, чтобы обновления антивирусных баз, чего доброго, его не засекли.

Кольчатые бестии

С точки зрения хакера трояны всем хороши, вот только скорость распространения подкачала. Чтобы добраться до самых «жирных», прокачанных персонажей в компьютерных играх, нужно в день красть и просматривать несколько десятков аккаунтов. Поэтому следующим этапом эволюции игровых вирусов стали черви.

Код трояна PSW.Win32.OnLineGames.fs, ворующего пароли к онлайн-игре MapleStory.

Первым червем, ворующим пароли из онлайн-игр, стал Email-Worm.Win32.Lewor.a, который рассылает себя по адресам базы Outlook Express зараженного компьютера. Найдя в базе логин, пароль и адрес сервера уже знакомой нам игры Legend of Mir, червь сохранял его на FTP-сервере хакера. Первая спам-рассылка Email-Worm.Win32.Lewor.a была зафиксирована в начале июня 2004 года.

Позже авторы червей начали добавлять в свои творения функцию самокопирования на съемные диски с добавлением файла autorun.inf, обеспечивающего автозапуск вируса при подключении зараженного диска (заражение происходило только в том случае, если на компьютере был разрешен автозапуск). Если же к системному блоку подключали, допустим, флэшку, червь самокопировался на нее. И так до бесконечности.

Вскоре начали появляться черви со встроенными функциями заражения исполняемых файлов и самокопирования на сетевые ресурсы. Это давало их авторам дополнительную возможность подсаживать червей на компьютеры пользователей и добавляло проблем антивирусным компаниям. Самокопирование вирусов в папки файлообменных сетей заметно увеличило число пострадавших. Этот класс вредоносных программ проходил в классификации «Лаборатории Касперского» как Worm.Win32.Viking. Дальнейшее развитие идеи массового распространения вредоносных программ для онлайн-игр воплотилось в прямом потомке Viking черве Worm.Win32.Fujack.

Последним же достижением хакеров стал полиморфный вирус Virus.Win32.Alman.a и его наследник Virus.Win32.Hala.a. Мало того, что эти кольчатые бестии заражают исполняемые файлы, они еще и распространяются напрямую по Сети, несут в себе функции руткита (механизмы сокрытия в системе) и бэкдора. Зараженный компьютер подключается к определенному интернет-серверу и получает с него комaнды от хакера, например, на загрузку и выполнение троянов группы Trojan-PSW.Win32.OnLineGames.

Вирусы защищают себя

Сайт игры Legend of Mir. С него пиратский эксплойт воровал у гeймеров пароли на протяжении двух месяцев. Уникальный случай.

А что же антивирусы, спросите вы? Если они отслеживают и ловят за шкирку обычные вирусы, так неужели не способны пресечь работы вирусов игровых? Конечно, способны. Вот только и вирусописатели не лыком шиты, они постоянно совершенствуют свои творения, делают их пpaктически невидимыми.

Первым шагом на пути защиты игровых вирусов от антивирусного ПО стало использование навесных упаковщиков, скрывающих код вредоносной программы от сигнатурного поиска. В результате тело вируса не дизассемблируется, как следствие, затрудняется анализ и распознавание червя или трояна.

Но довольно скоро антивирусы научились детектировать червей и троянов, защищенных одним лишь упаковщиком, и хакеры сделали следующий шаг навесили на трояны так называемую killav-систему (Kill Anti-Virus), которая либо вообще отключает защиту зараженного компьютера, либо полностью скрывает троян от антивируса.

Последним же достижением хакерской мысли в защите игровых вирусов стало применение руткитов, которые позволяют скрыть работу вредоносного ПО не только от антивирусов, но и от всех процессов в системе. Впрочем, не думайте, что руткиты гарантируют полную скрытность. Совсем нет, антивирусы с успехом их ловят, и поэтому вирусописатели стараются сделать из червей и троянов настоящие стелсы: они скрывают их в навесные упаковщики, навешивают killav-систему, приклеивают в качестве активной брони руткиты.

Схема атаки

И все же развитие игровых вирусов пока еще отстает от эволюции вирусов обычных, рассчитанных, к примеру, на кражу корпоративных данных. Это объясняется относительно недавним появлением самих онлайн-игр и вредоносных программ для них. Только в последние два года технология атак на MMOG стала заметно совершенствоваться и все больше походить на корпоративные войны с использованием вирусов.

Почти все атаки на компьютеры гeймеров проходят сегодня по следующей схеме. Создается червь, который несет в себе множество функций: самораспространения (email-червь, p2p-червь или сетевой червь), заражения исполняемых файлов (собственно вирус), сокрытия себя в системе (руткит) и саму программу для кражи пароля (psw-троян). Затем устраивается спам-рассылка червя. Одно неосторожное действие пользователя и вот уже все исполняемые файлы на компьютере заражены, по ящикам из адресной книги разосланы черви, вирусный код присутствует на всех сетевых ресурсах, к которым червю удалось получить доступ. Но жертва ничего не знает об этом, так как использующиеся в черве руткит-технологии скрывают присутствие вируса на компьютере.

Поскольку создавать программу, лечащую зараженные файлы, дольше, чем заниматься просто детектированием червя, у авторов вируса есть время для сбора урожая паролей. Примечательно, что пpaктически при всех подобных атаках украденные пароли также отправляются на почту или FTP-сервер, расположенные в зоне .cn.

Гoлая статистика

Из года в год число игровых вирусов растет. В «Лабораторию Касперского» ежедневно присылают более 70 вредоносных программ, ворующих пароли к популярным онлайн-играм. И если в 2002 году почти 99% присылаемых зловредов, были классифицированы как Trojan-PSW.Win32.Lmir, то с появлением новых игр и ростом их популярности доля вредоносных программ, атакующих игроков Legend of Mir, заметно упала. Сегодня самыми популярными мишенями разработчиков троянов являются Lineage 2 (более 40% всего потока троянцев для онлайн-игр), World of Warcraft (около 20%), Gamania, Tibia, Legend of Mir (около 6% на каждую). Это косвенно отображает популярность самих онлайн-игр, на пароли от которых нацелены вирусы.

Правила безопасности

В завершении дадим несколько советов, которые позволят вам обезопасить себя от кражи пароля. Как ни грустно это говорить, но самая большая угроза исходит от ваших знакомых по Сети. Были случаи, когда через StrongDC и другие файлообменные сети самые простые пользователи, возомнившие себя хакерами, раздавали и активно рекламировали программы, кряки и дистрибутивы, объединенные с троянами для онлайн-игр.

Некоторые из них уже сидят по ст. 273 УК РФ, но идея до сих пор многим кажется заманчивой. И вас вряд ли успокоит, что очередного хакера наказали, если вы уже потеряли свой аккаунт. Поэтому обязательно установите антивирус и настройте его на максимальную защиту. Проинсталлируйте персональный файервол и тоже настройте его на полный контроль над приложениями, рвущимися в Сеть. Регулярно ставьте обновления операционной системы и любых программ для работы с интернетом: эксплойты это реальность, и от нее никуда не убежишь.

Это общеизвестные и в чем-то даже бaнaльные способы, но ничуть не менее эффективные. А теперь парочка советов, про которые многие часто не знают. Каждый месяц меняйте пароли в онлайновых играх и у своих почтовых ящиков. Причина проста зачастую хакеры, получив доступ к вашему аккаунту, и обнаружив на нем высокоуровневого, но не до конца прокачанного персонажа, оставляют его, что называется, на потом. Получается, что вы, не подозревая, качаете героя для постороннего дяди. Если же регулярно менять пароли, то хакеры останутся с носом.

Не менее важно отключить в почтовом клиенте и интернет-браузере исполнение всех скриптов. Этим вы пpaктически полностью исключите возможность активации эксплойтов на сайтах и в спам-рассылках. Если на какой-то страничке вам все-таки нужно запустить скрипт, то включите эту возможность разово, а затем снова отключите. Ну и, конечно же, никогда не ставьте неофициальные патчи для MMORPG, коих в Сети можно найти сотни.

Каждый из этих советов сам по себе мало что дает, но если вы выполните все рекомендации, то риск остаться без аккаунта (с персонажем, на которого потрачено несколько месяцев кропотливой прокачки) будет минимальным.