趋势科技:警惕滥用《原神》驱动级反作弊程序的勒索软件攻击
从发布至今,《原神》已在其生命周期里迎来各式各样的更新,包括新角色、剧情扩展和附加功能。然而近日的一份报告,却提到了该游戏的反作弊系统正在被滥用、以大规模部署勒索软件并终结反病毒进程。海外玩家或许对 EasyAntiCheat 和 BattlEye 等反作弊软件更加熟悉,但米哈游选择了基于 mhyprot2.sys 这个文件的独家解决方案。
图 1 - 攻击概览
趋势科技(TrendMicro)在一份报告中指出:2022 年 7 月末,一些安全团队意识到 —— 该游戏的反作弊系统,存在着相当严重的隐患。
图 2 - 早期突破口的线索
据悉,米哈游为《原神》打造了一套基于设备驱动程序的反作弊程序、并在用户计算机上获得了内核级权限。
图 3 - 攻击者通过 RDP 连接到域控制器
更糟糕的是,此类文件可被滥用于绕过各种防护措施、最终干掉用户设备上的端点保护进程。
图 4 - 执行可疑的 kill_svc.exe 文件
有鉴于此,对于各个组织机构的 IT 管理人员来说,还请务必细致排查内部计算机、检查系统中是否存在此类文件。
图 5 - 在受感染设备上完成安装
接下来,受感染的《原神》反作弊软件会与名为 kill.svc 的一起亮相,安装相关服务、运行一款假冒的 AVG 反病毒软件、并将各种文件转储以供后续勒索。
图 6 - 通过 GPO 部署的 avg.MSI 安装器
与此同时,该勒索软件能够关闭常见的多款反病毒软件(趋势科技在概念验证中以 360 Total Security 作为例子)。
图 7 - 手动安装失败的 avg.msi
被勒索软件的有效载荷加密的文件将变得无法使用,并且能够利用 PsExec 进程传播到其它计算机。
图 8 - 名为 avg.exe 的恶意软件被传输到桌面并执行了 3 次
理论上,只要攻击者开始闯入组织所在的网络,那同一建筑设施里的所有其它计算机都将变得不再安全。
图 9 - 用于启动 HelpPane.exe 的批处理文件(logon.bat 的第一部分)
尴尬的是,尽管该问题已困扰安全研究人员有段时间,但米哈游似乎并不关心如何解决。该公司没有将 mhyprot2.sys 视作一个安全漏洞,意味着官方将不会提供针对此问题的修复程序。
图 10 - logon.bat 批处理文件的第二段落(针对杀毒软件和其它服务)
鉴于 mhyprot2.sys 此前已通过动态链接库(DLL)的形式被广泛分发,米哈游似乎直接选择了躺平。
图 11 - 批处理第 3 段落,禁用引导加载系统恢复环境和清除事件日志,干掉服务并启动勒索软件。
综上所述,对于《原神》玩家来说,还请务必在下载未知来源的文件时提高警惕,IT 管理员也请仔细检查组织内的计算机事件日志。