黑客正在滥用广受欢迎的 Genshin Impact 游戏的反作弊系统驱动程序来禁用防病毒软件,同时进行勒索软件攻击。
驱动程序/模块“mhypro2.sys”不需要目标系统来安装游戏,它可以独立运行,甚至可以嵌入恶意软件中,为威胁参与者提供了一个强大的漏洞,可以禁用安全软件。
自 2020 年以来,易受攻击的驱动程序就已 为人所知 ,它可以访问任何进程/内核内存,并能够使用最高权限终止进程。
研究人员过去曾多次向供应商报告过该问题。但是,代码签名证书尚未被吊销,因此该程序仍然可以安装在 Windows 上而不会引发任何警报。
更糟糕的是,自 2020 年以来,GitHub 上至少有两个概念验证漏洞利用 [ 1 , 2 ],详细介绍了如何从用户模式读取/写入具有内核模式权限的内核内存、枚举线程和终止进程。
滥用 Genshin Impact 的反作弊系统
在趋势科技的一份新报告中,研究人员已经看到了自 2022 年 7 月下旬以来威胁行为者滥用该驱动程序的证据,勒索软件行为者使用它来禁用其他正确配置的端点保护解决方案。
威胁参与者对目标端点使用“secretsdump”和“wmiexec”,然后使用抢夺的管理员凭据通过 RDP 连接到域控制器。
在受感染机器上采取的第一个操作是将 mhyprot2.sys 与用于安装驱动程序的恶意可执行文件“kill_svc.exe”一起传输到桌面。
接下来,入侵者删除了“avg.msi”,它又删除并执行了以下四个文件:
logon.bat – 一个批处理文件,它执行 HelpPane.exe,杀死防病毒和其他服务,并执行 svchost.exe
HelpPane.exe – 伪装成 Microsoft 帮助和支持可执行文件的恶意文件;类似于 kill_svc.exe,它安装 mhyprot2.sys 并杀死防病毒服务
mhyprot2.sys – 易受攻击的 Genshin Impact 反作弊驱动程序
svchost.exe – 勒索软件有效载荷
趋势科技评论说,攻击者曾三次尝试加密受攻击工作站上的文件,但都失败了,但防病毒服务被成功禁用。最终,攻击者将“logon.bat”移动到桌面并手动执行,这很有效。
手动启动 HelpPane.exe (Trend Micro)
最后,攻击者将驱动程序、勒索软件和“kill_svc.exe”可执行文件加载到网络共享上以进行大规模部署,以感染更多工作站。
勒索软件攻击者的攻击概述 (趋势科技)
趋势科技没有分享这些攻击中使用的勒索软件。
保护您的设备
趋势科技警告说,黑客对反作弊模块的部署可能会增加,因为即使供应商做出回应并修复了漏洞,旧版本的漏洞也会继续传播。
研究人员评论说:“仍然很少能找到带有代码签名的模块作为可以被滥用的设备驱动程序。”
安全研究 Kevin Beaumont 建议管理员可以通过阻止其安全解决方案上的“ 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 ”哈希来防御这种威胁,该哈希对应于易受攻击的 mhypro2.sys 驱动程序。
最后,防御者应监控名为“mhyprot2”的特定服务安装的事件日志。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客滥用Genshin Impact反作弊系统禁用杀毒软件
