「原神」のアンチチートを利用したランサムウェアが確認される インストールの有無は関係なし [502881957]
■ このスレッドは過去ログ倉庫に格納されています
原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認
Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。
7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。
mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。
このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。
同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。
https://pc.watch.impress.co.jp/docs/news/1435071.html > このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。
ゴミクソ またネトウヨが正しかった…
どうしてケンモメンは真実がわからないのか mhyprot2.sysが入ってなけりゃいいんじゃないの?
原神インストールしなきゃ入らなくね? ソシャゲやる人は知能指数100未満らしいからどうでもいいよw ゲームごときがsysドライバ組み込むとかクソ鬱陶しいなw >>5
アンインストールした後もそのファイルが残り続けるから現在原神がインストールされている必要はないってことかと >>11
そんなアンチチートに必死になってるような課金課金課金鬱陶しいゲームやらんし。 アンインストールしても残ってるのが意味わからん
消せよ >>13
いや、そういう話ではなく、ランサムウエア作ったやつが一緒に配布するって話。 違うよ
これはマイクロソフトが認証したドライバだから
それ自体はすんなり入っちゃう
そのドライバ入れさせて不法なことやらせるウイルスが出てきたけど
不法なこと実行してる主体がウイルスじゃないから検出できてない >>16
ランサムウェアに原神のファイルの一部が組み込まれてるって話だから、ゲーム自体のインストールとか全く関係がない。 マルウェア本体はexeなんだから、そっち検知すりゃいい話 >>19
ゼロデイ攻撃がexeで検出できたりしないし。
>>17も書いてるが、悪さの指示を出すのがマルウェア本体でも、悪さ自体をするのは原神の正規ドライバだから検出が難しいって話だ。 別にPvPするようなゲームじゃないだろ?
そんな必死にチート対策しなくていいじゃん 課金ゲーでアンチチートさぼったら課金されなくなるからね まぁ、こんなしょうもない悪質ドライバ、はやく署名取り消せやって話なんだわ。 署名無しデバドラだとロードしようとすると許可求められるとかそういう感じ?
アンチチートのデバドラってシステムコールのフックとかだろうけど
デバドラの開発なんてクソ面倒だし
いかにもexeからコールバック送ってそうな匂いがするな >>5
署名付きドライバだから他のアプリに混ぜてインスコしても有効だって話しやぞ 相変わらずwindowsは権限がゆるいな
ミホヨもミホヨが作ったファイルしかいじれないようにしとけよ 出来るか知らんけど現状の署名を無効にして
修正版を出さない限りは使われるってことか ユーザー承認を受けたソフトの脆弱性を突いただけでアンチチート機能と関係ないやん
ゲームユーザーはセキュリティ意識低そうだから上手い手だよな 読んでもわからん
アンチチートドライバにチート攻撃機能があってそれをウィルスに利用されたってこと? mhyprot2自体をなんかに混ぜて押し付けてやばい事するのか
しばらくなんも得体の知れない物はダウンロードできねぇな ジャップは新しいプログラムどころか手口を考える程の知力を持ってる訳が無いだろ! >>36
miyohoに脆弱性を知らせたのは日本人だが?
それガン無視して何の対処もしなかったからランサムウェア作るようなカスに悪用されだしたって話だぞ。 >>27
別にwindowsの権限は緩くないぞ。
ゲームごときがシステムドライバ組み込むこと自体が間違ってんだよ。 >>37
だからセキュリティホールのあるコード署名済みのドライバってところだろ
OSのコアな部分を叩ける権利を持ってるだけ
アンチチートの機能を使っていない >>40
アンチチートを実現するためのドライバだけど、何意味わからんこと言ってんのお前。
「アンチチート」ってどういう物か理解できてる?? 例えばハッキングソフトを無効化する機能を逆手にとって
セキャリティソフトを無効化するみたいな
「アンチチートを悪用する」ならそういうファンタジーな文脈に取れないこともないけど
まあでもこれたぶんオーバーフローを利用したエクスプロイトとかじゃなくて
「exeからリクエストされたアドレスのカーネルメモリ書き換える」みたいな正規の機能を悪用する感じで
何でそんなもんが必要なのかと言えば
アンチチートの性質上カーネルレベルのラジコンが必要だからなので
それなりにファンタジー的な意味でも「アンチチートを悪用」してると言えるのでは? >>20
本来の目的であるランサムウェアとしての機能はexe側だし悪用するドライバをロードする前であればソフトによってはヒューリスティックで検知できる
ゼロデイってそもそも脆弱性が発見されてパッチが当たるまでに行われる脆弱性攻撃のことでマルウェア本体のことではない
最近はごっちゃにする人多いけどね >>44
ドライバはランサムウエアからロードするんじゃないし、
ランサムウエア本体なんて1個1個作り変えてたりカスタマイズしてるんだからヒューリスティックで検知なんて出来ない。
作るやつだってバカじゃないんだから、そんなマヌケな作りにするわけ無いだろ。
つーか、簡単にできるのならトレンドマイクロがわざわざ>>1みたいな警告出すわけ無いじゃん。
そして、脆弱性自体は発見されていて、あとは署名無効化するなどの対策を取らないといけないわけだが、
なんら対策されていない以上、現在の状態は「ゼロデイ」だから。 原神のチートってどんななんだろう
無限に空飛べるとか無敵とか敵ワンパンとかあるんかな?使ってみたい >>45
>ドライバはランサムウエアからロードするんじゃないし、
すまん、ここは正しくなかったわ。お詫びして訂正します。
入り込んでウイルス検出アプリのプロセスを全killするから検出されないってのが正解。 ドライバのロードには本物の原神.exeを使えばいい
そっからはプレローダーがシステムコールで通信するわけだけど
たぶんアンチウイルスはシステムコールの監視まではしてないと思うし
(ドライバ通信用APIレベルでは監視してるかもしれないが直にシステムコールすればいい)
難読化されたら検出するのは難しい気がする
(windowsのシステムコールは引数をレジスタに入れて機械語syscallをl呼ぶだけ) ■ このスレッドは過去ログ倉庫に格納されています
