一款在2020年9月發行的PC動作冒險遊戲《Genshin Impact》,在今年8月被發現當中的作戰作弊模組所需的mhyprot2.sys被黑客所利用,利用這個具備數碼簽署的檔案,能取得被害公司的網絡設施的特別權限,而且被害公司並不需要安裝遊戲。
繞過防護
黑客首先利用被盜的管理員帳號經由RDP進入domain controller,除了盜取當中的資料,黑客還在那裡放置一個今有偽裝成防毒軟件安裝工具的share folder,然後利用group policy安裝到其中一部工作台上,相信是為大規模感染機構內的電腦進行預演。
不過,嘗試安裝失敗,該模組原意是加密資料(明顯之後就是勒索),導致攻擊者之後需要進行手動操作,並成功安裝合法的mhyprot2.sys,然後部署另一個工具收集處理可能干擾惡意代碼安裝的數據,結果所有程序都在清單之上,包括電腦上啟動中的保安方案,也逐一被mhyprot2.sys停止運作,一旦系統防護完全解除,惡意工具便會啟動對檔案進行加密並留下勒索訊息。
非典型的入侵
這次的個案獨特之處,是展示了本質上是由合法遊戲發行的軟件如何被加以利用,研究人員發現mhyprot2.sys早在2020年8月簽署,略早於遊戲推出,一向以來網絡犯罪份子傾向盜取私人證書去簽署惡意程式,或利用合法軟件中的安全漏洞,這次黑客對driver的常規功能加以利用,例如完全存取RAM和停止系統內任何程序的能力,這類合法的程式為機構的基礎設施帶來額外的風險,因為很容易被監控工具忽略。
《Genshin Impact》的玩家可能需要一點時間才發現mhyprot2.sys有點不正常行為,然而即使移除遊戲,該模組仍會留在系統之內,這意味著無論是現在或前現家,他們的電腦都存在漏洞更容易被攻擊,不過開發商即使知道有關driver的問題,仍不視該模組的危險行為是一個問題,所以該數碼簽署在2022年8月底仍然有效。
對機構的建議
要降低以上個案的風險,可以把潛在危險driver加到監察清單之內,又或者利用可靠的防護方案去擴閣自我防護能力,也不要忘記攻擊的最初是獲得存取domain controller的權限,這個情況已經相當危險,即使不用太多花巧方法,已經能夠在機構網絡內散播惡意程式。
資料來源:Kaspersky Blog
