一个黑客组织正在得到帮助传播它的ransomware来自一个不太可能的来源:游戏《原神》.
具体来说,勒索软件攻击者在游戏中使用了一个名为mhyprot2.sys的反作弊驱动程序,根据(在一个新窗口中打开)网络安全公司趋势科技的原因吗?同样的反欺骗驱动程序可以用来杀死PC上的反病毒进程。
趋势科技上个月在调查一台电脑上的勒索软件感染时发现了这种策略防病毒保护正确配置。“通过分析序列,我们发现了一个代号为‘mhyprot2’的驱动程序。sys’为Genshin Impact提供反欺骗功能,作为设备驱动程序,它被滥用以绕过特权,”该公司表示。
这使得勒索病毒得以利用内核命令,关闭防病毒检测进程。此外,攻击者能够在硬件上不安装Genshin Impact的情况下执行内核命令。mhyprot2。sys驱动文件只是在黑客获得远程访问后通过受害者的电脑传输的。
“这个勒索软件只是我们注意到的第一个恶意活动,”趋势科技补充说。“威胁行动者的目标是在受害者的设备中部署勒索软件,然后传播感染。”
mhyprot2。sys文件用于攻击是在2020年8月构建的。作为一个反作弊驱动程序,它具有强大的功能,包括访问PC上的特权资源的能力。2020年10月,一位GitHub用户甚至发达(在一个新窗口中打开)一种概念验证技术,展示了如何滥用驱动文件杀死系统进程,包括关闭一个中国的防病毒产品。
该驱动程序文件还拥有一个合法的代码签名证书,这意味着它可以安装在Windows系统上,并被认为是一个值得信任的程序。因此,趋势科技警告说:“这个模块非常容易获得,每个人都可以使用,直到它被删除。它可能会在很长一段时间内作为绕过特权的有用工具。”
为了回应趋势科技的报告,Genshin Impact的开发者miHoYo提出了一个解决方案来缓解这一威胁。HoYoverse团队非常重视信息安全。我们目前正在处理这个问题,并将尽快得出解决方案,以保障玩家的安全,并阻止反作弊功能的潜在滥用。一旦我们有了进一步的进展,我们会及时通知你,”开发商在一份声明中说。
然而,趋势科技表示,即使驱动程序文件的有效代码签名证书被撤销,也很难完全消除这种威胁。
趋势科技的研究员Jamz Yaneza在一封电子邮件中说:“并非所有的安全产品都部署相同,可能在堆栈的不同级别有证书检查,也可能根本不检查。”如果配置正确,或者完全正确,使用拒绝列表阻止是有效的。您将在大多数工作环境中发现这种基于风险的方法的更严格的实现。然而,在消费者终端和使用该版本的产品可能不会获得相同的结果,因为通过数字证书验证来防止执行甚至可能不是一个选项。”