Исследователи безопасности Trend Micro предупреждают, что хакеры уже активно используют уязвимость драйвера Genshin Impact mhyprot2.sys.
С одной стороны, античитерское программное обеспечение предназначено для предотвращения получения игроками онлайн-игр несправедливого преимущества с помощью сторонних инструментов. С другой стороны, системы с корневым доступом на уровне ядра опасны. Исследователи безопасности Trend Micro предупреждают, что хакеры неправильно использовали системный драйвер защиты от читов для игры Genshin Impact, чтобы отключить антивирусное программное обеспечение во время атаки программы-вымогателя.
Genshin Impact использует античит-файл mhyprot2.sys
Китайский разработчик HoYoverse (miHoYo в Китае) запустил бесплатную MMOPRG-игру Genshin Impact в 2020 году. С тех пор она пользуется большой популярностью. Многие игроки подключаются к его фантастическому игровому миру под названием Тейват через мобильные устройства, консоли или ПК. Однако, в то время как большинство игр используют EasyAntiCheat или BattlEye в качестве своих античит-систем, Genshin Impact специально использует античит-файл mhyprot2.sys.
Trend Micro расследует атаку программ-вымогателей на уровне ядра
Поставщик антивирусов Trend Micro в июле 2020 года получил отчет от клиента, который стал жертвой программы-вымогателя, несмотря на правильно настроенные системы для защиты конечных точек. Когда исследователи безопасности Trend Micro Хитоми Кимура и Райан Соливен расследовали атаку, они обнаружили, что злоумышленник использовал подписанный кодом драйвер mhyprot2.sys для обхода разрешений и уничтожения антивируса с помощью команд ядра. Однако можно задаться вопросом, как хакерам изначально удалось взломать систему. Исследователи сказали:
«Проанализировав отснятый материал, мы обнаружили, что драйвер с кодовой подписью под названием «mhyprot2.sys», который обеспечивает античитерские функции для Genshin Impact в качестве драйвера устройства, был использован для обхода разрешений. […] Целью злоумышленника было установить программу-вымогатель на устройство жертвы, а затем распространить инфекцию. »
Злоумышленники нацелены на пользователей Windows
По словам исследователей безопасности Trend Micro, злоумышленники нацелены на пользователей Windows, которые играют в популярную открытую игру Genshin Impact. Anti-Cheat for Genshin работает как драйвер устройства и имеет разрешение на уровне ядра на компьютере. Таким образом, потенциальные злоумышленники могут использовать этот файл для эксплуатации уязвимости, чтобы обойти различные меры безопасности и тем самым прекратить процесс защиты конечной точки.
В частности, хакеру удалось внедрить программу-вымогатель, зашифровать все файлы и получить доступ к конфиденциальным данным. Кроме того, по словам исследователей безопасности, вредоносное ПО может быть передано на другие компьютеры через процесс PsExec. Злоумышленники смогли полностью загрузить драйвер и программу-вымогатель на сетевую папку с целью массового развертывания.
Уязвимый драйвер известен с 2020 года и позволяет получить доступ к памяти любого процесса/ядра и убить процессы с наивысшими привилегиями. В прошлом исследователи безопасности несколько раз сообщали об этой проблеме поставщику. Однако сертификат подписи кода не был отозван, так что вы все еще можете установить программу в Windows, не поднимая никаких тревог. Чтобы иметь возможность использовать функции драйвера, игру не обязательно устанавливать. Модуль может работать самостоятельно и не нуждается в игре для работы. Поэтому Trend Micro предупреждает:
«Этот модуль очень легко получить, и он доступен всем, пока он не будет снят с производства. Это может оставаться полезной утилитой для обхода разрешений в течение длительного времени.
Trend Micro отмечает, что после инцидента она внесла некоторые исправления в свое антивирусное программное обеспечение, чтобы смягчить драйвер. Однако другие антивирусные пакеты могут по-прежнему пропускать mhyprot2.sys, если они специально не настроены для этого.
Разработчик игры предлагает исправление
В ответ на отчет Trend Micro разработчик Genshin Impact miHoYo разработал патч для смягчения угрозы. Он обновил античит-систему, чтобы она отключалась, когда пользователь не играет в игру.Разработчик поделился:
«Команда HoYovere очень серьезно относится к ИТ-безопасности. В настоящее время мы работаем над этим случаем и постараемся найти решение как можно скорее, чтобы обеспечить безопасность игроков и предотвратить потенциальное злоупотребление функцией античита. Мы будем держать вас в курсе по мере продвижения. »
По мнению исследователей безопасности Trend Micro «на данный момент решения нет». Античит-система — это законная программа, подписанная законной компанией. Поэтому он не помечен антивирусом или Windows как вредоносный. Теперь, когда уязвимость была обнаружена, возможно, открылись шлюзы для дальнейших потенциальных злоупотреблений.
Как сообщает DigitalTrends, исследователь безопасности Кевин Бомонт посоветовал пользователям заблокировать следующий хэш для защиты от драйвера: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 .
