游戏|趋势科技:警惕滥用《原神》驱动级反作弊程序的勒索软件攻击
从发布至今,《原神》已在其生命周期里迎来各式各样的更新,包括新角色、剧情扩展和附加功能 。然而近日的一份报告,却提到了该游戏的反作弊系统正在被滥用、以大规模部署勒索软件并终结反病毒进程 。海外玩家或许对 EasyAntiCheat 和 BattlEye 等反作弊软件更加熟悉,但米哈游选择了基于 mhyprot2.sys 这个文件的独家解决方案 。
文章图片
图 1 - 攻击概览
趋势科技(TrendMicro)在一份报告中指出:2022 年 7 月末,一些安全团队意识到 —— 该游戏的反作弊系统,存在着相当严重的隐患 。
文章图片
图 2 - 早期突破口的线索
据悉,米哈游为《原神》打造了一套基于设备驱动程序的反作弊程序、并在用户计算机上获得了内核级权限 。
文章图片
图 3 - 攻击者通过 RDP 连接到域控制器
更糟糕的是,此类文件可被滥用于绕过各种防护措施、最终干掉用户设备上的端点保护进程 。
文章图片
图 4 - 执行可疑的 kill_svc.exe 文件
有鉴于此,对于各个组织机构的 IT 管理人员来说,还请务必细致排查内部计算机、检查系统中是否存在此类文件 。
文章图片
图 5 - 在受感染设备上完成安装
接下来,受感染的《原神》反作弊软件会与名为 kill.svc 的一起亮相,安装相关服务、运行一款假冒的 AVG 反病毒软件、并将各种文件转储以供后续勒索 。
文章图片
图 6 - 通过 GPO 部署的 avg.MSI 安装器
与此同时,该勒索软件能够关闭常见的多款反病毒软件(趋势科技在概念验证中以 360 Total Security 作为例子) 。
文章图片
图 7 - 手动安装失败的 avg.msi
被勒索软件的有效载荷加密的文件将变得无法使用,并且能够利用 PsExec 进程传播到其它计算机 。
文章图片
图 8 - 名为 avg.exe 的恶意软件被传输到桌面并执行了 3 次
理论上,只要攻击者开始闯入组织所在的网络,那同一建筑设施里的所有其它计算机都将变得不再安全 。
文章图片
图 9 - 用于启动 HelpPane.exe 的批处理文件(logon.bat 的第一部分)
尴尬的是,尽管该问题已困扰安全研究人员有段时间,但米哈游似乎并不关心如何解决 。该公司没有将 mhyprot2.sys 视作一个安全漏洞,意味着官方将不会提供针对此问题的修复程序 。
文章图片
图 10 - logon.bat 批处理文件的第二段落(针对杀毒软件和其它服务)
鉴于 mhyprot2.sys 此前已通过动态链接库(DLL)的形式被广泛分发,米哈游似乎直接选择了躺平 。
文章图片
图 11 - 批处理第 3 段落,禁用引导加载系统恢复环境和清除事件日志,干掉服务并启动勒索软件 。
综上所述,对于《原神》玩家来说,还请务必在下载未知来源的文件时提高警惕,IT 管理员也请仔细检查组织内的计算机事件日志 。
访问购买页面:
【游戏|趋势科技:警惕滥用《原神》驱动级反作弊程序的勒索软件攻击】游戏外设自营专区
推荐阅读
- |游戏加盟创业,要怎么做好手游代理呢?
- Microsoft|Xbox菲尔·斯宾塞认为游戏NFT技术依然存在潜力
- 火焰之纹章|当年打游戏长大的80后,如今有的沉迷氪金,有的生二胎把游戏戒了
- 游戏|孩之宝投入大量预算制作 《特种部队》“蛇眼”相关新游
- 哥布林杀手|原神:游戏中的8大狠人玩家,看看你是吗?
- 游戏|前迪士尼和EA开发者公开新环保主题工作室
- Microsoft|Xbox首席产品经理:电视是云游戏主流化的关键
- 原神|原神是最有良心的游戏?主要还是看人,有些玩家感受截然不同!
- 游戏王|游戏王决斗链接:永火开启复仇之路,超阴间卡组成版本噩梦
- |卡牌手机游戏新斗罗大陆代理加盟怎么做?