趋势科技:警惕滥用《原神》驱动级反作弊程序的勒索软件攻击
趋势科技:警惕滥用《原神》驱动级反作弊程序的勒索软件攻击从发布至今,《原神》已在其生命周期里迎来各式各样的更新,包括新角色、剧情扩展和附加功能。然而近日的一份报告,却提到了该游戏的反作弊系统正在被滥用、以大规模部署勒索软件并终结反病毒进程。海外玩家或许对EasyAntiCheat和BattlEye等反作弊软件更加熟悉,但米哈游选择了基于mhyprot2.sys这个文件的独家解决方案。图1-攻击概览趋势科技(TrendMicro)在一份报告中指出:2022年7月末,一些安全团队意识到——该游戏的反作弊系统,存在着相当严重的隐患。图2-早期突破口的线索据悉,米哈游为《原神》打造了一套基于设备驱动程序的反作弊程序、并在用户计算机上获得了内核级权限。图3-攻击者通过RDP连接到域控制器更糟糕的是,此类文件可被滥用于绕过各种防护措施、最终干掉用户设备上的端点保护进程。图4-执行可疑的kill_svc.exe文件有鉴于此,对于各个组织机构的IT管理人员来说,还请务必细致排查内部计算机、检查系统中是否存在此类文件。图5-在受感染设备上完成安装接下来,受感染的《原神》反作弊软件会与名为kill.svc的一起亮相,安装相关服务、运行一款假冒的AVG反病毒软件、并将各种文件转储以供后续勒索。图6-通过GPO部署的avg.MSI安装器与此同时,该勒索软件能够关闭常见的多款反病毒软件(趋势科技在概念验证中以360TotalSecurity作为例子)。图7-手动安装失败的avg.msi被勒索软件的有效载荷加密的文件将变得无法使用,并且能够利用PsExec进程传播到其它计算机。图8-名为avg.exe的恶意软件被传输到桌面并执行了3次理论上,只要攻击者开始闯入组织所在的网络,那同一建筑设施里的所有其它计算机都将变得不再安全。图9-用于启动HelpPane.exe的批处理文件(logon.bat的第一部分)尴尬的是,尽管该问题已困扰安全研究人员有段时间,但米哈游似乎并不关心如何解决。该公司没有将mhyprot2.sys视作一个安全漏洞,意味着官方将不会提供针对此问题的修复程序。图10-logon.bat批处理文件的第二段落(针对杀毒软件和其它服务)鉴于mhyprot2.sys此前已通过动态链接库(DLL)的形式被广泛分发,米哈游似乎直接选择了躺平。图11-批处理第3段落,禁用引导加载系统恢复环境和清除事件日志,干掉服务并启动勒索软件。综上所述,对于《原神》玩家来说,还请务必在下载未知来源的文件时提高警惕,IT管理员也请仔细检查组织内的计算机事件日志。PC版:https://www.cnbeta.com/articles/soft/1308973.htm手机版:https://m.cnbeta.com/view/1308973.htm
