本文討論開放原始碼如何遭到程式碼維護者暗中修改以表達政治上的抗議。此外，我們也分析了這類事件對 IT資安產業及開放原始碼社群的意義。

傳統上，人們對於開放原始程式碼的資安疑慮大多圍繞在開放原始碼可能暗藏漏洞、後門或惡意程式。然而近幾個月來，我們觀察到一種特別的現象，那就是開放原始程式碼遭人暗中修改來表達政治上的抗議。之所以出現這類所謂的「抗議軟體」(protestware)，是有些負責維護開放原始碼軟體的開發者因政治上的動機或為了表達抗議而對程式碼做某些修改。這樣的情況雖然不是新聞，因為之前就曾發生過，但最近的一些地緣政治事件卻讓開放原始碼社群分裂成兩派：一派支援這樣的發展，另一派則傾向於維持開放原始碼生態系的非政治化，因為抗議軟體可能會破壞開放原始碼社群整體的信任基礎。

趨勢科技深入研究了當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」所暗藏的漏洞，該驅動程式目前正被勒索病毒集團拿來終止防毒軟體的處理程序與服務，以方便他們大量散播勒索病毒 。

過去我們就曾在報導中看過一些經過數位簽署的 Rootkit (駭客工具套件)，例如： Netfilter、FiveSys 和 Fire Chili。這些 Rootkit 通常使用偷來的數位簽章或偽造驗證，但合法的驅動程式被當成 Rootkit 使用，卻又是另外一回事，當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」就是這樣一個活生生的例子。這個驅動程式目前正被某個勒索病毒集團拿來終止防毒軟體的處理程序與服務，以方便他們大量散播勒索病毒。值得資安團隊注意的是，mhyprot2.sys 可整合至任何惡意程式當中。  

駭客先在受害裝置安裝勒索病毒，然後再散播到整個網路

時間回到 2022 年 7 月的最後一個禮拜，我們發現一名客戶的電腦上安裝的端點防護軟體偵測到一個勒索病毒。在分析其感染過程之後，我們發現熱門遊戲《原神》的防作弊系統驅動程式 (檔名「mhyprot2.sys」) 被駭客用來躲避 Windows 系統的權限管制，結果使得駭客可以在系統核心模式 (kernel mode) 內下達指令將端點防護的處理程序終止。

截至本文撰稿為止，mhyprot2.sys 驅動程式的簽章依然有效，由於該驅動程式可獨立於遊戲之外運作，所以此攻擊手法不需在受害裝置安裝《原神》遊戲就能運作。 

在系統安裝勒索病毒只是駭客攻擊的開端，駭客的用意是要先在受害裝置安裝勒索病毒，然後再散播到整個網路。由於 mhyprot2.sys 驅動程式可整合至任何惡意程式當中，所以我們正在做進一步的研究以了解此裝置驅動程式應用的範圍有多廣。

基於以下幾項因素，企業與資安團隊應特別小心：首先，mhyprot2.sys 驅動程式非常容易取得；其次，該驅動程式可避開權限管制因此用途很廣；最後，這套手法已有現成的概念驗證 (PoC) 程式碼可用。以上所有因素加起來，意味著此驅動程式應該不只有目前發現的 Rootkit 正在使用。

此外，也請資安團隊特別留意本文描述的攻擊時間點與攻擊手法，有關這起攻擊用到的詳細手法與技巧，請參閱本文最後的 MITRE ATT&CK 分析一節。