Влияние Геншина на безопасность | Хакадей

Genshin Impact — MMORPG с симпатичными персонажами в стиле аниме и, возможно, чересчур вдохновленная другой классической франшизой Nintento, является относительно популярной игрой на платформах PlayStation, iOS, Android и ПК. Последнее уже вызвало споры, поскольку версия игры для ПК включает в себя античит-драйвер ядра, который работает в контексте ядра Windows, и при первоначальном выпуске этот модуль продолжал работать даже после закрытия игры.

Этот анти-читерский драйвер снова в новостях, и Trend Micro обнаружила кампанию вымогателей, которая включает в себя mhyprot2.sys, античит-драйвер, как компонент заражения. Известно, что модуль имеет уязвимости и по-прежнему является подписанным драйвером ядра, поэтому вредоносная кампания загружает драйвер и использует его функции для отключения защиты от вредоносных программ.

Остальная часть кампании проста. Начиная с доступа к одной машине, подключенной к домену, злоумышленник использует эту точку опоры, чтобы получить доступ к контроллеру домена. Вредоносный скрипт размещается в общем хранилище, и PsExec используется для его запуска на всех машинах-членах домена. Настоящей новинкой здесь является использование уязвимого драйвера ядра для защиты от читов в качестве средства обхода защиты от вредоносных программ. Насколько мы можем судить, этот драйвер *все еще* подписан и считается надежным в Windows. Мы присоединяемся к призыву Microsoft отозвать этот уязвимый драйвер, поскольку сейчас он активно используется в продолжающихся кампаниях по распространению вредоносного ПО. Чтобы узнать больше о безопасности, ознакомьтесь с нашей еженедельной колонкой на эту тему.

Leave a Comment