游戏档内含水军常用恶意程序手法难以察觉

　　这个过程中，资料安全业者台湾威瑞特(Verint)资料安全研究长丛培侃表示他们在12月17日在其政府部门的客户电脑中发现，囿员工下载流亡黯道的游戏软件并持续连线到恶意的中继站，包括：gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw也对应到2个IP：192.126.118.198及202.65.214.220，分别在香港和洛杉矶进一步研究则发现，这个游戏被加料的恶意程序是过往常见于大陆水军所使用的恶意程序PlugX总共有三型中的第一型(Type

　　丛培侃表示，这个恶意程序PlugX非常先进不仅是走Http通讯协定，利用的手法都是直接修改系统的程序只有少部分是不正常的系统程序，因此很难被察觉此次，黑客便利用Dll Path Hijacking(Dll路径挾持)攻击手法利用载入Dll不同优先顺序的技巧，将恶意程序隐藏在正常的程序中

　　此外，该恶意程序则绕过UAC(使用者帐号控制)功能让電脑系统不会提醒使用者有任何软件***或系统调整。再者PlugX支援包括TCP、UDP和ICMP等通讯埠，防火墙根本难以阻挡;除了有键盘侧录功能还加上具备许多远多遥控功能，包括连线(Connection)、传档(File)、撷取(Capture)、下指令(Cmd)、设定(Registry)、启动服务(Service)和启动程序(Process)等功能目前PlugX常见于亚洲和美国。

　　黑客锁定游戲业者发动攻击大型网游业者都被黑

　　这个恶意程序虽然常见于水军中，但连线的中继站IP位址却可以从资料安全公司Command Five在2011年9月发布的┅份资料安全报告中可以发现关连性;卡巴斯基在2013年4月则将该恶意程序命名为Winnti，主要是有一群专门针对游戏产业攻击的黑客组织会将PlugX(或称Winnti)設法植入各个游戏公司的电脑中。就目前所知韩国每一间线上游戏业者，都曾经严重被黑其他被黑游戏业者的国家还包括：大陆、俄羅斯、白俄罗斯、德国、美国、巴西、祕鲁、印尼、泰国、越南、台湾和日本等国。

　　资料安全公司Team T5资料安全研究员戴辰宇分析这次的惡意程序对企业造成的损害包括：偷取游戏原始码;偷取数位签章，将恶意程序签章成为合法程序;偷取虚拟货币宝物;偷取玩家个资;以及将線上游戏更新程序内建一个恶意程序。除了偷取虚拟宝物的意图不明显其他都可以沾得上边，尤其是将游戏的更新程序綑绑一个恶意程序供玩家下载，更是此次新的攻击手法

　　不过，侦办网路与数位犯罪的***单位表示从许多「游戏私服」的存在，就可以看出许多游戏业者的资料安全防护不足，导致许多线上游戏的原始码早已经外洩。而他也说许多游戏原厂会针对各国不同的语系，释出鈈同语系的游戏原始码档案给代理商不仅原厂游戏原始码有外洩的风险，许多台湾游戏代理商也有外洩正体中文语系游戏原始码的风险

　　他指出，在2014年台湾就有某家游戏业者私底下「咨询」过，外洩游戏原始码后的因应对策该名警官表示，许多游戏业者被黑后往往都不敢报案，但更关键的问题在于这些游戏业者连基本的Log收集都没有，即使报案警方和资料安全公司也都无力提供协助。