Nyhederne Genshin Impact > Hackere bruger Genshin Impacts anti-cheat-software i ransomware til at dræbe antivirus-processer
Hackere bruger Genshin Impacts anti-cheat-software i ransomware til at dræbe antivirus-processer
Ansigtshåndflade: Anti-cheat-software er afgørende for at bevare integriteten af et multiplayer-spil. Systemer med adgang til root-rettigheder på kerneniveau er dog farlige. Sikkerhedsforskere advarede om dette, siden denne form for snydebekæmpelse først rejste hovedet, og nu bliver den udnyttet i naturen.
Mindst én hacker bruger anti-cheat-software, der er inkluderet i den enormt populære free-to-play MMOPRG Genshin Impact for at hjælpe med at massedistribuere ransomware. Filen hedder ‘mhyprot2.sys’ og beskrives som en anti-cheat-driver.
Antivirus-leverandøren Trend Micro modtog en rapport i juli fra en kunde, der blev offer for ransomware, selvom hans systemer havde korrekt konfigureret slutpunktsbeskyttelse. Da Trend Micro-forskere undersøgte angrebet, opdagede de, at en hacker havde brugt en kodesigneret driver, mhyprot2.sys, til at omgå privilegier og dræbe virusbeskyttelsen med kernekommandoer.
Fra fredag er kodesigneringscertifikatet for mhyprot2.sys stadig gyldigt. Så Windows vil genkende det som troværdigt. Desuden behøver Genshin Impact ikke at være installeret, for at driverudnyttelsen virker. Ondsindede aktører kan bruge det uafhængigt og tilføje mhyprot2.sys til enhver malware.
Angrebsoversigt
Driveren har eksisteret siden 2020, og en GitHub-udvikler lavede endda et proof-of-concept, der demonstrerede, hvordan nogen kunne misbruge mhyprot2.sys til at lukke systemprocesser ned, inklusive antivirussystemer. Trend Micro sagde dog, at det er første gang, det har bemærket, at nogen bruger driveren ondsindet i naturen.
“Denne ransomware var simpelthen det første tilfælde af ondsindet aktivitet, vi bemærkede,” lyder rapporten. “Trusselsaktøren havde til formål at implementere ransomware inden for offerets enhed og derefter sprede infektionen. Da mhyprot2.sys kan integreres i enhver malware, fortsætter vi undersøgelser for at bestemme driverens omfang.”
Trend Micro underrettede Genshin Impact studio miHoYo om sårbarheden, og udviklere arbejder på en løsning. Problemet er, at da hackere kan implementere driveren uafhængigt, vil eventuelle patches kun påvirke dem med spillet installeret. Plus, hackere vil sandsynligvis sende gamle versioner rundt i deres fællesskaber i årevis.
Hvis du er en virksomhed, og du kører MDE eller lignende, anbefaler jeg at blokere denne hash, det er den sårbare driver. 509628b6d16d2428031311d7bd2add8d5f5160e9ecc0cd909f1e82bbbb3234d6
Det indlæses med det samme på Windows 11 med TPM og alt det, problemet er blevet ignoreret.
Trend Micro bemærker, at det har lavet specifikke rettelser til sin antivirussoftware for at afbøde driveren, men andre virusbeskyttelsespakker kan savne mhyprot2.sys, medmindre de er specifikt konfigureret til at opdage det.
“Ikke alle sikkerhedsprodukter er implementeret ens og kan have certifikatkontrol på forskellige niveauer af stakken eller måske slet ikke kontrollere,” fortalte Trend Micros Jamz Yaneza til PCMag.
Det kan tage et stykke tid for andre antivirusleverandører at indhente det. I mellemtiden anbefaler sikkerhedsforsker Kevin Beaumont at blokere dykkerens hash (ovenfor), hvis din sikkerhedspakke har hash-blokering.
