Hacker lạm dụng hệ thống chống gian lận của Genshin Impact để vô hiệu hóa phần mềm diệt virus

Hacker đang lạm dụng diver hệ thống chống gian lận (anti-cheat) của game Genshin Impact để vô hiệu hóa phần mềm chống virus trong khi tiến hành các cuộc tấn công bằng ransomware.

Driver/module, "mhypro2.sys" không cần hệ thống đích có cài đặt trò chơi, và nó có thể hoạt động độc lập ngay cả khi được nhúng trong mã độc, cung cấp cho hacker một lỗ hổng mạnh tới mức có thể vô hiệu hóa phần mềm bảo mật.

Driver dễ bị tấn công này được biết đến từ năm 2020 và cung cấp quyền truy cập vào bất kỳ bộ nhớ tiến trình/kernel nào và có khả năng kết thúc quy trình bằng đặc quyền cao nhất.

Trong quá khứ, các nhà nghiên cứu đã nhiều lần cảnh báo vấn đề với nhà cung cấp. Tuy nhiên, chứng chỉ ký code vẫn chưa được thu hồi, do đó, chương trình vẫn có thể được cài đặt trên Windows mà không có bất cứ cảnh báo nào xuất hiện.

Mọi thứ càng trở nên tệ hơn khi từ năm 2020 tới nay đã có ít nhất hai cách khai thác đã được đăng lên GitHub với đầy đủ chi tiết về cách đọc/ghi bộ nhớ kernel với đặc quyền cao nhất.

Hacker lạm dụng hệ thống chống gian lận của Genshin Impact để vô hiệu hóa phần mềm diệt virus

Lạm dụng hệ thống anti-cheat của Genshin Impact

Trong một báo cáo mới được xuất bản của Trend Micro, các nhà nghiên cứu đã thấy bằng chứng về việc các nhóm hacker lạm dụng driver này từ cuối tháng 7/2022. Hacker sử dụng driver này để vô hiệu hóa các giải pháp bảo vệ, mở đường cho việc cài đặt ransomware.

Quá trình xâm nhập, cài đặt được thực hiện theo nhiều bước với nhiều file thực thi giả mạo phần mềm xác thực được tải về và khởi chạy. Không chỉ lây nhiễm trên một máy, hacker còn cho chạy một tiến trình để có thể lây nhiễm hàng loạt ransomware trên hệ thống của nạn nhân.

Trend Micro không tiết lộ băng nhóm ransomware nào đang thực hiện các cuộc tấn công kiểu này.

Nhà nghiên cứu bảo mật Kevin Beaumont khuyên các quản trị viên có thể chống lại mối đe dọa này bằng cách chặn hàm băm "0466e90bf0e83b776ca8716e01d35a8a2e5f96d3" trên giải pháp bảo mật của họ cũng như chặn cả driver dễ bị tấn công mhypro2.sys.

Cuối cùng, nhân viên an ninh mạng nên theo dõi nhật ký sự kiện để phản ứng kịp thời ngay khi phát hiện cài đặt dịch vụ cụ thể như "mhyprot2".

Thứ Sáu, 26/08/2022 16:33
51 👨 485
0 Bình luận
Sắp xếp theo