趨勢科技深入研究了當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」所暗藏的漏洞，該驅動程式目前正被勒索病毒集團拿來終止防毒軟體的處理程序與服務，以方便他們大量散播勒索病毒 。

過去我們就曾在報導中看過一些經過數位簽署的 Rootkit (駭客工具套件)，例如： Netfilter、FiveSys 和 Fire Chili。這些 Rootkit 通常使用偷來的數位簽章或偽造驗證，但合法的驅動程式被當成 Rootkit 使用，卻又是另外一回事，當今最熱門的角色扮演遊戲《原神》的防作弊系統驅動程式「mhyprot2.sys」就是這樣一個活生生的例子。這個驅動程式目前正被某個勒索病毒集團拿來終止防毒軟體的處理程序與服務，以方便他們大量散播勒索病毒。值得資安團隊注意的是，mhyprot2.sys 可整合至任何惡意程式當中。  

駭客先在受害裝置安裝勒索病毒，然後再散播到整個網路

時間回到 2022 年 7 月的最後一個禮拜，我們發現一名客戶的電腦上安裝的端點防護軟體偵測到一個勒索病毒。在分析其感染過程之後，我們發現熱門遊戲《原神》的防作弊系統驅動程式 (檔名「mhyprot2.sys」) 被駭客用來躲避 Windows 系統的權限管制，結果使得駭客可以在系統核心模式 (kernel mode) 內下達指令將端點防護的處理程序終止。

截至本文撰稿為止，mhyprot2.sys 驅動程式的簽章依然有效，由於該驅動程式可獨立於遊戲之外運作，所以此攻擊手法不需在受害裝置安裝《原神》遊戲就能運作。 

在系統安裝勒索病毒只是駭客攻擊的開端，駭客的用意是要先在受害裝置安裝勒索病毒，然後再散播到整個網路。由於 mhyprot2.sys 驅動程式可整合至任何惡意程式當中，所以我們正在做進一步的研究以了解此裝置驅動程式應用的範圍有多廣。

基於以下幾項因素，企業與資安團隊應特別小心：首先，mhyprot2.sys 驅動程式非常容易取得；其次，該驅動程式可避開權限管制因此用途很廣；最後，這套手法已有現成的概念驗證 (PoC) 程式碼可用。以上所有因素加起來，意味著此驅動程式應該不只有目前發現的 Rootkit 正在使用。

此外，也請資安團隊特別留意本文描述的攻擊時間點與攻擊手法，有關這起攻擊用到的詳細手法與技巧，請參閱本文最後的 MITRE ATT&CK 分析一節。

繼續閱讀

網路犯罪集團其實並不在意他們所駭入的是企業內伺服器或雲端伺服器,對他們來說，只要是暴露在外或含有漏洞的伺服器都一樣好用。

雲端或企業內伺服器

網路犯罪集團並不在乎伺服器所在的位置，不論他們駭入的是雲端或企業內伺服器，他們都有儲存空間及運算資源可用，此外也可以竊取其中的資料。所以，伺服器越容易駭入、就越容易遭殃。

隨著數位轉型浪潮的持續發展，再加上遠距工作的推波助瀾，雲端伺服器似乎更容易發生暴露在外的情況。不幸的是，許多企業 IT 團隊都未針對雲端伺服器提供與企業內伺服器相同等級的防護。

特別說明一下，我們必須強調這樣的情況僅適用於一些用來取代企業內伺服器儲存及運算工作的雲端運算實體 (instance)。容器或無伺服器式功能並無這類問題。但要補充的是，如果駭客入侵的是雲端帳號而非單獨某個運算實體的話，那麼情況將完全改觀，因為駭客此時就能任意啟用更多資源。這樣的情況的確可能發生，但卻不是本文要討論的重點。

繼續閱讀

在本系列的前兩篇文章中，我們探討了最容易被勒索病毒盯上的四種目標，以及該如何中了勒索病毒?緊急處理六步驟,該做與不該做的十件事! 而在這結尾的第三篇文章裡，讓我們來看看本世紀到現今為止前十大最知名的勒索病毒攻擊。

1.Locky

Locky在2016年首次被駭客組織用來進行攻擊。它能夠加密160多種類型的檔案，並且透過偽造的電子郵件附件散播。使用者會被誘騙而將勒索病毒裝進了自己的電腦。這樣的散播方法稱為網路釣魚 – 社交工程手法之一。Locky勒索病毒的目標是設計師、開發人員和工程師經常使用的檔案類型。
◼延伸閱讀:
Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?
 “你有一個新的語音留言通知 ” Locky 勒索病毒留的!

繼續閱讀