從發布至今,《原神》已在其生命周期里迎來各式各樣的更新,包括新角色、劇情擴展和附加功能。然而近日的一份報告,卻提到了該遊戲的反作弊系統正在被濫用、以大規模部署勒索軟件並終結反病毒進程。海外玩家或許對 EasyAntiCheat 和 BattlEye 等反作弊軟件更加熟悉,但米哈游選擇了基於 mhyprot2.sys 這個文件的獨家解決方案。
圖 1 – 攻擊概覽
趨勢科技(TrendMicro)在一份報告中指出:2022 年 7 月末,一些安全團隊意識到 —— 該遊戲的反作弊系統,存在着相當嚴重的隱患。
圖 2 – 早期突破口的線索
據悉,米哈游為《原神》打造了一套基於設備驅動程序的反作弊程序、並在用戶計算機上獲得了內核級權限。
圖 3 – 攻擊者通過 RDP 連接到域控制器
更糟糕的是,此類文件可被濫用於繞過各種防護措施、最終幹掉用戶設備上的端點保護進程。
圖 4 – 執行可疑的 kill_svc.exe 文件
有鑒於此,對於各個組織機構的 IT 管理人員來說,還請務必細緻排查內部計算機、檢查系統中是否存在此類文件。
圖 5 – 在受感染設備上完成安裝
接下來,受感染的《原神》反作弊軟件會與名為 kill.svc 的一起亮相,安裝相關服務、運行一款假冒的 AVG 反病毒軟件、並將各種文件轉儲以供後續勒索。
圖 6 – 通過 GPO 部署的 avg.MSI 安裝器
與此同時,該勒索軟件能夠關閉常見的多款反病毒軟件(趨勢科技在概念驗證中以 360 Total Security 作為例子)。
圖 7 – 手動安裝失敗的 avg.msi
被勒索軟件的有效載荷加密的文件將變得無法使用,並且能夠利用 PsExec 進程傳播到其它計算機。
圖 8 – 名為 avg.exe 的惡意軟件被傳輸到桌面並執行了 3 次
理論上,只要攻擊者開始闖入組織所在的網絡,那同一建築設施里的所有其它計算機都將變得不再安全。
圖 9 – 用於啟動 HelpPane.exe 的批處理文件(logon.bat 的第一部分)
尷尬的是,儘管該問題已困擾安全研究人員有段時間,但米哈游似乎並不關心如何解決。該公司沒有將 mhyprot2.sys 視作一個安全漏洞,意味着官方將不會提供針對此問題的修復程序。
圖 10 – logon.bat 批處理文件的第二段落(針對殺毒軟件和其它服務)
鑒於 mhyprot2.sys 此前已通過動態鏈接庫(DLL)的形式被廣泛分發,米哈游似乎直接選擇了躺平。
圖 11 – 批處理第 3 段落,禁用引導加載系統恢復環境和清除事件日誌,幹掉服務並啟動勒索軟件。
綜上所述,對於《原神》玩家來說,還請務必在下載未知來源的文件時提高警惕,IT 管理員也請仔細檢查組織內的計算機事件日誌。