趨勢科技深入研究了當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」所暗藏的漏洞,該驅動程式目前正被勒索病毒集團拿來終止防毒軟體的處理程序與服務,以方便他們大量散播勒索病毒 。
過去我們就曾在報導中看過一些經過數位簽署的 Rootkit (駭客工具套件),例如: Netfilter、FiveSys 和 Fire Chili。這些 Rootkit 通常使用偷來的數位簽章或偽造驗證,但合法的驅動程式被當成 Rootkit 使用,卻又是另外一回事,當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」就是這樣一個活生生的例子。這個驅動程式目前正被某個勒索病毒集團拿來終止防毒軟體的處理程序與服務,以方便他們大量散播勒索病毒。值得資安團隊注意的是,mhyprot2.sys 可整合至任何惡意程式當中。
駭客先在受害裝置安裝勒索病毒,然後再散播到整個網路
時間回到 2022 年 7 月的最後一個禮拜,我們發現一名客戶的電腦上安裝的端點防護軟體偵測到一個勒索病毒。在分析其感染過程之後,我們發現熱門遊戲《原神》的防作弊系統驅動程式 (檔名「mhyprot2.sys」) 被駭客用來躲避 Windows 系統的權限管制,結果使得駭客可以在系統核心模式 (kernel mode) 內下達指令將端點防護的處理程序終止。
截至本文撰稿為止,mhyprot2.sys 驅動程式的簽章依然有效,由於該驅動程式可獨立於遊戲之外運作,所以此攻擊手法不需在受害裝置安裝《原神》遊戲就能運作。
在系統安裝勒索病毒只是駭客攻擊的開端,駭客的用意是要先在受害裝置安裝勒索病毒,然後再散播到整個網路。由於 mhyprot2.sys 驅動程式可整合至任何惡意程式當中,所以我們正在做進一步的研究以了解此裝置驅動程式應用的範圍有多廣。
基於以下幾項因素,企業與資安團隊應特別小心:首先,mhyprot2.sys 驅動程式非常容易取得;其次,該驅動程式可避開權限管制因此用途很廣;最後,這套手法已有現成的概念驗證 (PoC) 程式碼可用。以上所有因素加起來,意味著此驅動程式應該不只有目前發現的 Rootkit 正在使用。
此外,也請資安團隊特別留意本文描述的攻擊時間點與攻擊手法,有關這起攻擊用到的詳細手法與技巧,請參閱本文最後的 MITRE ATT&CK 分析一節。
繼續閱讀
延伸閱讀:
所有電子郵件都應掃描附件檔案是否含有惡意程式。在開啟不明來源附件檔案時,請務必小心。