Trend Micro’nun bulgularına göre, Genshin Impact video oyunu için savunmasız bir anti-hile sürücüsü, fidye yazılımının dağıtımını kolaylaştırmak için bir siber suç aktörü tarafından antivirüs programlarını devre dışı bırakmak için kullanıldı.
Temmuz 2022’nin son haftasında tetiklenen fidye yazılımı enfeksiyonu, söz konusu sürücünün (“mhyprot2.sys”) geçerli bir sertifika ile imzalanmış olması ve dolayısıyla ayrıcalıkların atlanmasını ve ilgili hizmetlerin sonlandırılmasını mümkün kılıyor. uç nokta koruma uygulamaları.
Genshin Impact, Eylül 2020’de Şanghay merkezli geliştirici miHoYo tarafından geliştirilen ve yayınlanan popüler bir aksiyon rol yapma oyunudur.
Saldırı zincirinde kullanılan sürücünün modüldeki kusurun varlığı ile Ağustos 2020’de yapıldığı söyleniyor. tartışıldı oyunun piyasaya sürülmesinden sonra ve istismarlar gösteren herhangi bir keyfi süreci öldürme ve çekirdek moduna yükseltme yeteneği.
Özetle fikir, ayrıcalıkları kullanıcı modundan çekirdek moduna yükseltmek için geçerli kod imzasıyla meşru aygıt sürücüsü modülünü kullanmak ve böylece rakiplerin kötü amaçlı yazılımları gizlice dağıtmak için sürekli olarak nasıl farklı yollar aradığını yeniden doğrulamaktır.
Olay müdahale analistleri Ryan Soliven ve Hitomi Kimura, “Tehdit aktörü, kurbanın cihazına fidye yazılımı yerleştirmeyi ve ardından enfeksiyonu yaymayı amaçladı.” söz konusu.
“Kuruluşlar ve güvenlik ekipleri birkaç faktör nedeniyle dikkatli olmalıdır: mhyprot2.sys modülünü edinme kolaylığı, sürücünün ayrıcalıkları atlama açısından çok yönlülüğü ve iyi yapılmış kavram kanıtlarının (PoC’ler) varlığı.”
Trend Micro tarafından analiz edilen olayda, uzak masaüstü protokolü (RDP) aracılığıyla etki alanı denetleyicisine bağlanmak ve ona AVG Internet Security gibi görünen bir Windows yükleyicisini aktarmak için bir kanal olarak adsız bir varlığa ait güvenliği ihlal edilmiş bir uç nokta kullanıldı. diğer dosyaların yanı sıra savunmasız sürücü yürütülür.
Araştırmacılar, hedefin, sürücüyü yükleyen, virüsten koruma hizmetlerini öldüren ve fidye yazılımı yükünü başlatan bir toplu iş dosyası aracılığıyla etki alanı denetleyicisini kullanarak fidye yazılımını toplu olarak dağıtmak olduğunu söyledi.
Trend Micro, oyunun “bunun çalışması için bir kurbanın cihazına yüklenmesi gerekmediğine” dikkat çekti; bu, tehdit aktörlerinin fidye yazılımı dağıtımının öncüsü olarak hile karşıtı sürücüyü kolayca yükleyebilecekleri anlamına geliyor.
Yorum için miHoYo’ya ulaştık ve haber alırsak hikayeyi güncelleyeceğiz.
Araştırmacılar, “Suistimal edilebilecek bir aygıt sürücüsü olarak kod imzalı bir modül bulmak hala nadirdir” dedi. “Bu modülü elde etmek çok kolay ve varlıktan silinene kadar herkesin kullanımına açık olacak. Uzun süre ayrıcalıkları atlamak için yararlı bir yardımcı program olarak kalabilir.”
“Sertifika iptali ve antivirüs tespiti, kötüye kullanımın önüne geçilmesine yardımcı olabilir, ancak yasal bir modül olduğu için şu anda bir çözüm yok.”