Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ekipy od ransomware wykorzystują podatny anti-cheat z gry Genshin Impact

25 sierpnia 2022, 22:26 | W biegu | komentarze 4

Systemy anty-cheat często działają z maksymalnymi możliwymi uprawnieniami (aby móc wykryć jak najwięcej) zatem potencjalna podatność w tego typu module daje duże możliwości (wykonanie kodu na poziomie jądra systemu operacyjnego). Tak jest i w tym przypadku:

a vulnerable anti-cheat driver for the popular role-playing game Genshin Impact. The driver is currently being abused by a ransomware actor to kill antivirus processes and services for mass-deploying ransomware. 

Eeee, ale nie mam zainstalowanego Genshin Impact, więc to nie jest problem. No właśnie niekoniecznie:

  1. Atakujący wykorzystują sam driver (dostarczany przez siebie), który jest odpowiednio podpisany. Dzięku temu mogą przejść nieco po cichu od admina (wymaganie instalacji sterownika) do wykonania kodu na poziomie jądra i z tego poziomu już bez żadnych ceregieli robić co im tylko przyjdzie do głowy.

    As of this writing, the code signing for mhyprot2.sys is still valid. Genshin Impact does not need to be installed on a victim’s device for this to work; the use of this driver is independent of the game.
  2. Sam sterownik być może nadal znajduje się (zainstalowany) na komputerze, nawet jeśli odinstalowano Genshin Impact.

W każdym razie, jeśli znajdziecie gdzieś na swoim systemie sterownik mhyprot2.sys – warto bliżej przyjrzeć się tematowi…

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciekawsky

    Z góry przepraszam za potencjalnie głupie pytanie, ale dlaczego tego typu programy (mówię o anty-cheacie, nie grze) nie są po prostu oznaczane przez windows defender/anti-wirusy jako wirusy i z automatu poddawane kwarantannie?

    Odpowiedz
    • An

      Nie bedzie wykryty przez av jesli ma certyfikat

      Odpowiedz
      • CRL

        W takim razie ten certyfikat jest do unieważnienia.
        Stuxnet też legitymował się cert’ami Realtek’a i JMicron’a.

        Odpowiedz
  2. ojciec

    Z Genshin Impact korzystają miliony użytkowników…

    Czy ta podatność Genshin Impact (anti-cheat) została już zneutralizowana (marzec 2023) na Windows (admin, wykonywanie kodu)?
    Czy np. Norton dziś może ten sterownik mhyprot2.sys przyblokować kwarantanną? Czy coś się zmieniło od września 2022? Czy zmieniła się instalacja na PC?

    Odpowiedz

Odpowiedz