【CSGO】AliveNK外掛分析 配圖

admin

《反恐精英：全球攻勢》(簡稱：CS:GO)作為《反恐精英》系列游戲的第四款作品，在FPS游戲玩家中一直有著比較高的知名度，目前是世界上玩家數(shù)最多的FPS游戲之一，2017年4月18日《CS:GO》國服開啟先鋒首測，盡管此次CS:GO國服進(jìn)入三套安全方案，但仍然在首測2周內(nèi)便出現(xiàn)了功能完善的外掛，其中Alive NK外掛功能更是全面。此次主要以Alive NK對CS:GO外掛進(jìn)行分析。

http://gslab.qq.com/data/attachment/portal/201706/27/105925kmdjh2d2sasvzamh.png

外掛靜態(tài)分析：
目錄特征：
外掛的目錄結(jié)構(gòu)很簡單，只有一個執(zhí)行文件“Alive NK V617[可選版].exe”。外掛功能啟動后，還會有注入到游戲內(nèi)的result.dll，c盤根目錄下會生成配置信息，同時會在游戲目錄下生成對應(yīng)配置文件，具體如下, 灰鴿子, 監(jiān)控軟件：

名稱	作用	所在路徑
Alive NK V617[可選版].exe	外掛登錄界面	存放目錄
result.dll	外掛注入、邏輯實(shí)現(xiàn)模塊	%temp%，注入后會被刪掉
kss.ini	外掛連接情況，日志	c:\\
test.txt	外掛帳號	c:\\
test1.txt	外掛剩余時間	c:\\
config.xml	外掛配置文件	..\\CSGO\steamapps\common\Counter-Strike Global Offensive\

文件特征外掛主界面Alive NK，VMP加殼，IDA拖入代碼閱讀性差


http://gslab.qq.com/data/attachment/portal/201706/27/105926xhsx39q9iqzhxb89.png

主界面未對調(diào)試做檢測和對抗，調(diào)試器可正常附加進(jìn)行分析外掛注入模塊result.dll（/TemporaryFile），注入后被刪除


http://gslab.qq.com/data/attachment/portal/201706/27/105926t53v5qby9efu3akz.png

通過對CreateFile和WriteFile hook攔截，獲取完整dll，同樣外掛模塊加VMP，IDA可讀性很差


http://gslab.qq.com/data/attachment/portal/201706/27/105926x2m5cz6cizg55m77.png
http://gslab.qq.com/data/attachment/portal/201706/27/105926sytssesdjttt8nyg.png

外掛配置文件config.xml，未做加密，里面包含著外掛功能配置選項(xiàng)


http://gslab.qq.com/data/attachment/portal/201706/27/105926ykhx0zll0553mxdh.png

外掛動態(tài)分析行為分析[size=21.3333px], 灰鴿子, 監(jiān)控軟件：


外掛有兩種方式注入，分析第一種注入，直接hook進(jìn)程遍歷和常見的注入api，記錄如下：


http://gslab.qq.com/data/attachment/portal/201706/27/105927t1zluc6zlwk9znnn.png

同時外掛在遍歷目標(biāo)進(jìn)程的同時，在%temp%目錄下釋放自身將要注入的dl’


lhttp://gslab.qq.com/data/attachment/portal/201706/27/105927ax8e5ler78ir9jie.png

最終外掛通過創(chuàng)建遠(yuǎn)程線程，將result.dll注入到目標(biāo)進(jìn)程中, 灰鴿子, 監(jiān)控軟件


http://gslab.qq.com/data/attachment/portal/201706/27/105927at8angaqreamu838.png

選取另外一種方式注入，發(fā)現(xiàn)獲得了同樣的api調(diào)用序列，同時監(jiān)控到無消息鉤子創(chuàng)建，無dll劫持，無LSP和注冊表的相關(guān)修改，外掛的第二種注入方式本質(zhì)上仍然是遠(yuǎn)程線程注入，與第一種并沒有什么不同外掛注入游戲后，調(diào)試器附加后，無法找到外掛模塊，結(jié)合pchunter模塊加載的地址，可以找到外掛的內(nèi)存分布暴力搜索內(nèi)存中的相關(guān)字符串，可以獲得相關(guān)字符串信息，字符串做顯示UI使用，分別對應(yīng)外掛的中文版和英文版，遠(yuǎn)程控制


http://gslab.qq.com/data/attachment/portal/201706/27/105927w3n4p6elapxtovpu.png

同時發(fā)現(xiàn)，模塊加載后，會先跨模塊調(diào)用游戲內(nèi)各個模塊的導(dǎo)出函數(shù)CreateInterface，獲取各個游戲模塊內(nèi)的接口


http://gslab.qq.com/data/attachment/portal/201706/27/105927i1dwa2c3c4wq6z26.png

外掛通過獲取到的接口，進(jìn)一步計算得出其他函數(shù)地址（下圖為外掛獲取的游戲內(nèi)UI顯示的部分接口）


http://gslab.qq.com/data/attachment/portal/201706/27/105927iuky3inz3993kkpl.png


執(zhí)行時機(jī):


外掛注入后會在游戲的右上角繪制自己的窗口，猜測外掛調(diào)用了dx/gui相關(guān)繪制函數(shù)，對常見api下斷點(diǎn)進(jìn)行回溯后，并未發(fā)現(xiàn)相關(guān)外掛調(diào)用信息。分析過程中注意到當(dāng)外掛保存配置時會向游戲界面上寫入保存配置成功，結(jié)合對應(yīng)明文字符，定位到相關(guān)邏輯：
http://gslab.qq.com/data/attachment/portal/201706/27/105928wkg7bog9no65kgdr.png

進(jìn)一步跟進(jìn)，外掛修改了虛表[[[vguimatsurface.55BEF580]]+0xA4]，替換成自己的外掛模塊地址，獲得執(zhí)行實(shí)際


http://gslab.qq.com/data/attachment/portal/201706/27/105928c38ux5guk7rnf3dt.png

虛表原本指向vgui2.dll+0x180A0，調(diào)用來自client.dll. engine.dll，vguimatsurface.dll等多處，負(fù)責(zé)游戲中UI相關(guān)功能，外掛修改虛表指向自己的模塊，用來獲取自己的執(zhí)行時機(jī)
外掛功能分析透視外掛給出了透視的選項(xiàng)-ESP功能，結(jié)合激活開關(guān)，通過CE搜索開關(guān)標(biāo)志位，再通過對標(biāo)志位下訪問斷點(diǎn)，回溯后定位到ESP功能的入口函數(shù)


http://gslab.qq.com/data/attachment/portal/201706/27/105928b9vosuc3ptvtv53f.png

跟進(jìn)分析，通過分析流程跳轉(zhuǎn)，確定外掛temporaryfile.3061bb80為透視相關(guān)的功能函數(shù)（僅修改跳轉(zhuǎn)，透視方框消失，其他功能正常）


http://gslab.qq.com/data/attachment/portal/201706/27/105928gbybiz1rb9pyl94v.pnghttp://gslab.qq.com/data/attachment/portal/201706/27/105928vn77dzofz8g377rn.png

進(jìn)一步分析temporaryfile.3061bb80實(shí)現(xiàn)邏輯，外掛在函數(shù)內(nèi)調(diào)用engine.dll獲得相關(guān)數(shù)據(jù)結(jié)構(gòu)


http://gslab.qq.com/data/attachment/portal/201706/27/105929vbvn0dr2ein81207.png

再解析數(shù)據(jù)結(jié)構(gòu)獲取坐標(biāo)相關(guān)偏移，最終將獲取的坐標(biāo)保存到自己的模塊


http://gslab.qq.com/data/attachment/portal/201706/27/105929axarrr0jlarrjbcl.png

最終調(diào)用engine-CEngineVGui:aint進(jìn)行繪制第三人稱游戲外掛提供了第三人稱視角，可以結(jié)合陀螺外掛使用，危害程度較大


http://gslab.qq.com/data/attachment/portal/201706/27/105929h9c3rr68rkkj899q.png

通過開通和關(guān)閉第三人稱，結(jié)合CE搜索關(guān)鍵標(biāo)志位確定第三人稱在游戲中的開關(guān)位置


http://gslab.qq.com/data/attachment/portal/201706/27/105929z04c9bf4h4ak4tkd.png

外掛修改了游戲內(nèi)的第三人稱的開關(guān)，打開了第三人稱視角 陀螺儀CS:GO陀螺外掛影響較為惡劣，人物可以快速旋轉(zhuǎn)抖動，外掛中的UI中給出了陀螺外掛的偏移量數(shù)據(jù)，這個其實(shí)是人物朝向和開槍方向的偏移。結(jié)合CE搜索偏移量，定位到外掛模塊存取偏移量的內(nèi)存地址


http://gslab.qq.com/data/attachment/portal/201706/27/105929wsytdik59eq2tzdh.png

對地址下訪問斷點(diǎn)，結(jié)合陀螺儀的開啟時機(jī)，最終確定result.dll+0x5D1D為關(guān)鍵地址


http://gslab.qq.com/data/attachment/portal/201706/27/105930k09b11aptu42c3af.png

分析上述訪問偏移量的地址，全部存在于外掛模塊，跟進(jìn)分析其他幾個地址，并未發(fā)現(xiàn)游戲直接或者間接訪問了這個偏移量，所以，外掛很可能將偏移量進(jìn)行了計算轉(zhuǎn)換結(jié)合result.dll+5D1D處回溯分析，最終確定偏移量的計算邏輯：


http://gslab.qq.com/data/attachment/portal/201706/27/105930plzzhqtiba0lomk0.png

游戲中很有可能使用的是計算后的這個偏移量，結(jié)合CE對偏轉(zhuǎn)后的浮點(diǎn)數(shù)進(jìn)行搜索，最終確定關(guān)鍵地址


http://gslab.qq.com/data/attachment/portal/201706/27/105930fb0zdz9vg9vdvqzv.png

此時開啟陀螺儀的抖動功能，發(fā)現(xiàn)視角及計算后的方向不停的被修改，猜測游戲外掛很可能的在不停的改寫數(shù)據(jù)


http://gslab.qq.com/data/attachment/portal/201706/27/105930as4usk5g9unsnv5k.png

對外掛中的計算后的浮點(diǎn)數(shù)據(jù)下寫入斷點(diǎn)，用來獲得外掛在修改后的執(zhí)行邏輯：


http://gslab.qq.com/data/attachment/portal/201706/27/105930mzhsa64xksiv5bhc.png

堆棧回溯分析，最終確定陀螺的主要實(shí)現(xiàn)邏輯：外掛首先會調(diào)用eingine中函數(shù)判斷游戲當(dāng)前狀態(tài)，如果在大廳，則對應(yīng)陀螺功能也不開啟


http://gslab.qq.com/data/attachment/portal/201706/27/105931srhuhi56s9osm56m.png

最后，外掛會獲得當(dāng)前的陀螺儀開啟的方式和設(shè)置的設(shè)置的偏移量，最終將計算好的偏移量，寫入到內(nèi)存中


http://gslab.qq.com/data/attachment/portal/201706/27/105931ig3fg3y0fyyyy17k.png

感知時機(jī)上，外掛不再通過vguimatsurface.dll，將之前分析透視相關(guān)的虛表恢復(fù)，也不會影響到陀螺的功能，通過分析獲得，陀螺hook了engine負(fù)責(zé)幀繪制相關(guān)虛表，獲得更改人物狀態(tài)的執(zhí)行時機(jī)（原虛表指向client+0x22C340）


http://gslab.qq.com/data/attachment/portal/201706/27/105931m69svjj9rwj6txls.png

然后更改了hook了獲取人物視角的虛表client.dll+0x2BA636處（原本應(yīng)該call client+0x23c4a0），進(jìn)行對當(dāng)前視角進(jìn)行修改


http://gslab.qq.com/data/attachment/portal/201706/27/105931ww858twpwwia8xtw.png
后：
1. CS:GO游戲通用安全保護(hù)強(qiáng)度不高，游戲分析門檻較低，導(dǎo)致了外掛制作成本較低
2. CS:GO-VAC檢測強(qiáng)度不高，導(dǎo)致了外掛存活周期較長。
3. CS:GO無前端實(shí)時對抗方案，處罰作弊具有延后性。
4. CS:GO人物坐標(biāo)全局下發(fā)，導(dǎo)致游戲會長久的存在FPS通用的透視自瞄等外掛風(fēng)險