黑客一直在大规模流行游戏中滥用反作弊系统,您甚至不需要将其安装在您的计算机上即可受到影响。
有问题的游戏被称为Genshin Impact ,根据一份新报告,黑客能够利用游戏的反作弊措施来禁用目标机器上的防病毒程序。从那里,他们可以自由地进行勒索软件攻击并控制设备。
趋势科技准备了一份关于这个新黑客的长篇报告,详细描述了它的工作方式。可以使用名为“mhypro2.sys”的Genshin Impact驱动程序进行攻击。如上所述,游戏不需要安装在目标设备上。该模块可以独立运行,不需要游戏即可运行。
自 2022 年 7 月以来,研究人员已发现威胁参与者利用此漏洞进行勒索软件攻击的证据。虽然尚不清楚黑客最初是如何访问目标的,但一旦进入,他们就可以使用Genshin Impact驱动程序为了访问计算机的内核。内核通常可以完全控制系统中发生的一切,因此威胁参与者能够访问它是灾难性的。
黑客使用“secretsdump”帮助他们获取管理员凭据,使用“wmiexec”通过Windows自己的管理工具远程执行他们的命令。这些是Impacket的免费和开源工具,任何人都可以根据需要使用。
这样一来,威胁参与者就能够连接到域控制器并将恶意文件植入计算机。其中一个文件是名为“kill_svc.exe”的可执行文件,用于安装Genshin Impact驱动程序。将“avg.msi”拖放到受影响计算机的桌面后,四个文件被传输并执行。最终,攻击者能够完全杀死计算机的杀毒软件并转移勒索软件的有效载荷。
在一些小问题之后,攻击者能够将驱动程序和勒索软件完全加载到网络共享上,以实现大规模部署,这意味着它们可能会影响连接到同一网络的更多工作站。
如果您是企业并且运行 MDE 或类似的,我建议阻止此哈希,它是易受攻击的驱动程序。
509628b6d16d2428031311d7bd2add8d5f5160e9ecc0cd909f1e82bbbb3234d6它立即在带有 TPM 的 Windows 11 上加载,所有这些问题都被忽略了。
— Cloudflare 支持仇恨 (@GossiTheDog) 2022 年 8 月 25 日
据趋势科技称, Genshin Impact的开发人员早在 2020 年就被告知游戏模块中的漏洞。尽管如此,代码签名证书仍然存在,这意味着 Windows 继续认为该程序是安全的。
即使供应商对此做出回应并修复了这一重大缺陷,其旧版本仍将保留在互联网上,因此仍将是一个威胁。安全研究员 Kevin Beaumont 建议用户阻止以下哈希以保护自己免受驱动程序的攻击: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 。
截至目前, Genshin Impact的创建者尚未对这些发现做出回应。这只是最近的许多网络攻击之一,根据一份新报告,自去年以来,这些攻击已经翻了一番。