

资安业者Check Point揭露恶意软件GodLoader的攻击行动,这些黑客滥用开源游戏引擎Godot并运行GDScript脚本,而能在不被杀毒软件察觉异状的情况下,半年内攻陷1.7万台电脑
最近2年黑客利用合法组件瘫痪杀毒软件及EDR系统的情况,不断有资安事故传出,其中最常见的手法,便是使用过时的驱动程序,以操作系统内核层级来干扰这些资安防护机制的运作,但如今有人转向其他工具来突破防线。
资安业者Check Point指出,他们发现名为GodLoader的恶意软件,从今年6月底开始通过开源游戏引擎Godot,并运行特制的GDScript脚本,黑客借此触发恶意指令,并于受害电脑加载恶意软件,迄今约有1.7万台电脑遭到感染,而且,许多杀毒软件可能无法侦测攻击者使用的恶意脚本,因为将这些程序送到恶意软件分析平台VirusTotal检测,鲜少有杀毒引擎将其视为有害。
值得留意的是,该恶意软件散布的管道,是滥用代码存储库GitHub组成的Stargazers Ghost网络,从9月至10月,约有200个存储库用于散布GodLoader。
另一方面,这样的手法能够针对多种类型的设备进行跨平台攻击,范围涵盖Windows、Linux、macOS电脑,以及安卓和iOS设备。虽然研究人员这次只找到针对Windows电脑的恶意软件,但他们也发现借此将有效酬载传到Linux及macOS环境的作法。
针对这波攻击的危险性,研究人员认为,游玩以Godot开发游戏的玩家都有可能曝险,他们估计超过120万人会成为黑客下手的标的。攻击者可假借提供游戏修改器或其他工具,利用Godot在用户电脑运行恶意脚本。
而被黑客用来夹带攻击程序的管道Godot,其实是开源的游戏开发平台,提供高度弹性、对用户友善的操作界面,以及丰富的功能,开发者可用来打造2D或3D游戏,并将成品输出为各种平台的版本,除了电脑、行动设备版本,开发者也能以网页的形式(HTML5)提供玩家游玩。其中,Godot内核引擎使用类似Python的脚本语言GDScript,以便开发人员用于打造游戏。
但功能如此全面的GDScript,也成为攻击者利用的对象,研究人员提及,此语言能让攻击者回避沙箱和虚拟机,也可以远程运行有效酬载,在此同时,攻击者因为使用了这项合法工具,而能够回避侦测。
针对游戏开发工具被滥用的情况,Godot游戏引擎维护团队及资安团队成员Rémi Verschelde找上资安新闻网站Bleeping Computer,并提出说明,他们表示,已经得知Check Point公布的调查结果,并认为这种型态的弱点也同样可能会出现在其他游戏开发引擎,而会遭到滥用。
这种攻击手法必须搭配特定条件,Rémi Verschelde表示,攻击者必须将Godot的部分运行组件(runtime)与PCK文件一起发送,而且,用户必须将运行组件与PCK档放置于相同文件夹,并启动相关组件。除非攻击者搭配操作系统层级漏洞,否则他们无法让用户运行文件就中招,Rémi Verschelde认为,由于还要将Godot组件带到受害电脑上,这类方法并非黑客偏好的触发操作系统漏洞管道。