趋势科技研究人员调查了《原神》的易受攻击的反作弊驱动程序 mhyprot2.sys。原神反作弊服务mhyprot2.sys,在游戏关闭后甚至卸载后,都不会退出,并且由于反作弊服务的特殊性,这个服务存在的价值就是不断地扫描你的操作等,所以被用户认为是间谍软件。该驱动程序目前正被一个勒索软件攻击者滥用,以阻止大规模部署勒索软件的反病毒进程和服务。已经有关于 Netfilter,FiveSys 和 Fire Chili 等代码签名 rootkit 的报告。这些 rootkit 通常使用被盗证书签名或被错误验证。然而,当一个合法的驱动程序被用作rootkit时,情况就不同了。mhyprot2.sys 就是这种情况,它是《原神》的易受攻击的反作弊驱动程序。该驱动程序目前被勒索软件攻击者滥用,以阻止杀毒进程和服务以大规模部署勒索软件。研究人员已经注意到mhyprot2.sys可以集成到任何恶意软件中。
在 2022 年 7 月的最后一周,在一个正确配置了终端保护的用户环境中触发了勒索软件感染。通过分析,研究人员发现一个名为“mhyprot2.sys”的代码签名驱动程序被滥用以绕过权限,该驱动程序为《原神》提供反作弊功能作为设备驱动程序。结果,来自内核模式的命令阻止了终端保护进程。
在撰写本文时,mhyprot2.sys 的代码签名仍然有效。《原神》 不需要安装在受害者的设备上即可工作,该驱动程序的使用与游戏无关。
该勒索软件只是趋势科技研究人员注意到的第一个恶意活动实例。攻击者旨在在受害者的设备中部署勒索软件,然后传播感染。由于 mhyprot2.sys 可以集成到任何恶意软件中,趋势科技研究人员正在继续调查以确定驱动程序的范围。
组织和安全团队应该小心以下几个因素:容易获得 mhyprot2.sys 模块,驱动程序在绕过权限方面的多功能性,以及精心制作的概念证明 (PoC) 的存在。所有这些因素都意味着这个驱动程序的使用可能比以前发现的rootkit更高。
同时,趋势科技研究人员在本文介绍的攻击者活动的时间线和攻击顺序对于安全团队来说是值得注意的。此操作中使用的技术列表可在本文末尾的 MITRE ATT&CK 分析中找到。
攻击概览
最早的攻击证据是从目标组织的一个未识别终端到域控制器之一的机密文件。随后是在内置域管理员帐户的上下文中使用 wmiexec 执行发现命令。Secretsdump——从远程计算机转储机密信息而不执行任何代理和wmiexec——通过Windows Management Instrumentation (WMI)远程执行命令,它们都是来自Impacket的工具,Impacket是一个用于处理网络协议的免费Python类集合。
攻击的早期证据
不久之后,攻击者通过 RDP 使用另一个受感染的管理员帐户连接到域控制器。此时,所有内容都在该用户帐户的上下文中执行。
通过 RDP 连接到域控制器的攻击者
注意:在受感染管理员帐户的上下文中运行的进程 rdpclip.exe 是唯一支持对域控制器使用 RDP 的目标系统工件。它有助于 RDP 会话之间的剪贴板共享。
恶意文件 kill_svc.exe (C:\users\{compromised user}\kill_svc.exe) 和 mhyprot2.sys (C:\users\{compromised user}\mhyprot2.sys) 被移动到桌面。这是第一次看到易受攻击的驱动程序。文件 kill_svc.exe 安装了 mhyprot2 服务并阻止了杀毒服务。
可疑的kill_svc.exe文件被执行
安装的易受攻击设备
另一个恶意文件 avg.msi 被移动到 netlogon share \\{domaincontroller}\NETLOGON\avg.msi。此 Windows 安装程序包含 avg.exe,这是一个伪装成 AVG Internet Security 的恶意文件,并负责删除和执行以下内容:
logon.bat——一个批处理文件,它执行HelpPane.exe,以阻止杀毒和其他服务,并执行 svchost.exe。
HelpPane.exe——伪装成微软帮助和支持可执行文件的恶意文件,于 kill_svc.exe类似,它会安装 mhyprot2.sys 并阻止杀毒服务。
mhyprot2.sys——易受攻击的 《原神》 反作弊驱动程序。
svchost.exe——勒索软件有效负载。
这也表明攻击者打算通过启动/登录脚本使用域控制器大规模部署勒索软件。
托管在 netlogon 共享上的 Windows 安装程序 avg.msi 通过组策略对象 (GPO) 部署到一个工作站终端。趋势科技研究人员怀疑这是为了测试通过 GPO 部署是否会成功,但是这个示例导致了失败。
通过 GPO 部署的 Windows 安装程序 avg.msi
之后,攻击者从身份不明的终端登录到工作站。同时观察到登录类型3 (Network Logon)和登录类型10 (RemoteInteractive)。Windows安装程序avg.msi被手动安装了三次,这也导致了一个失败,这没有加密。但是,它成功地阻止了杀毒服务。
avg.msi 手动安装失败
注意:avg.msi 的安装可能已失败,但该产品也不再工作。
从 avg.msi 中提取的文件 avg.exe 也被移动到桌面并执行了 3 次。但是,在趋势科技研究人员的分析中,他们发现即使杀毒软件不再工作,这一步也不起作用。显然,使用 .msi 或 .exe 文件会导致应用程序卡住。
恶意文件 avg.exe 移动到桌面并执行了 3 次
为了让事情顺利进行,攻击者将 logon.bat 转移到桌面并手动执行。文件 logon.bat 被认为是由 avg.exe 删除和执行的,它是作为一个独立的文件存在的。
logon.bat 的第1部分,用于启动 HelpPane.exe
logon.bat 的第2部分,用于阻止杀毒软件和其他服务
logon.bat 的第 3 部分,用于禁用引导加载程序加载 Windows 恢复环境,禁用 Windows 恢复环境,清除 Windows 事件日志、阻止 mhyprot2 服务并将其删除,最后启动勒索软件 svchost。可执行程序
令人惊讶的是,执行 logon.bat 有效,并且勒索软件 svchost.exe 开始释放勒索记录并加密文件。知道这一点后,攻击者在名为“lol”的共享文件夹上托管了大规模部署所需的三个文件:mhyprot2.sys、kill_svc.exe(用于阻止杀毒服务)和 svchost.exe(勒索软件)。
包含大规模部署所需组件文件的共享文件夹
一个名为“b.bat”(C:\Users\{compromised user}\Desktop\b.bat)的批处理文件,负责复制和执行上述文件,使用内置域的凭据通过 PsExec 部署管理员帐户。它在文件 ip.txt 中列出了目标工作站。
b.bat 的部分内容(已被攻击者多次修改)
将 b.bat 部署到其他工作站的攻击者
驱动程序 mhyprot2.sys 由 kill_svc.exe/HelpPane.exe 使用 NtOpenFile 函数加载。
kill_svc.exe/HelpPane.exe 加载的驱动程序 mhyprot2.sys
加载 mhyprot2.sys 后,kill_svc.exe/HelpPane.exe 检查要终止的进程列表。
kill_svc.exe/HelpPane.exe 检查的要终止的进程列表
之后,它使用 DeviceIoControl 函数将此信息传递给驱动程序。
DeviceIoControl 函数
控制代码 0x81034000 被发送到驱动程序,指示它终止列表中的进程。
mhyprot2.sys 示例函数
0x81034000 内的 ZwTerminateProcess,它终止一个进程及其所有线程
在这个序列中发现的 mhyprot2.sys 驱动程序是 2020 年 8 月构建的。回到社交媒体流,研究人员可以看到在 2020 年 9 月 《原神》 发布后不久,该模块在游戏社区中被讨论,因为它即使在游戏被卸载后也没有被删除,因为它允许绕过权限。
用户 kagurazakasanae 提供的 PoC 显示,一个库终止了 360 Total Security。Kento Oki 提供的更全面的 PoC 具有以下功能:
从用户模式读取/写入任何具有内核权限的内核内存。
从用户模式读取/写入任何具有内核权限的用户内存。
按特定进程 id 枚举多个模块。
获得系统正常运行时间。
枚举特定进程中的线程,允许直接从命令行界面 (CLI) 读取内核中的 PETHREAD 结构。
使用 ZwTerminateProcess 通过进程 id 终止特定进程,该进程在易受攻击的驱动程序上下文 (ring-0) 中调用。
Kento Oki 也将该问题作为漏洞报告给了 《原神》 的开发者 miHoYo。Kento Oki 的 PoC 引发了更多讨论,但提供商并未承认该问题是一个漏洞,也没有提供修复程序。当然,代码签名证书仍然有效,直到现在还没有被撤销,作为设备驱动程序的代码签名的数字签名此时仍然有效。
将代码签名作为设备驱动程序而被滥用的模块仍然很少。这种情况的关键在于,具有有效代码签名的合法设备驱动程序模块能够绕过从用户模式到内核模式的权限。即使供应商承认权限绕过是一个漏洞,并提供了一个修复程序,该模块在分发之后也不能被释放。这个文件有一个驱动程序的代码签名,它允许这个模块以内核模式加载。如果该签名是通过私钥盗窃为恶意模块签名的,可以通过吊销证书使签名失效。然而,在本示例中,这是对合法模块的滥用。似乎没有泄露私钥,所以目前还不知道证书是否会被吊销。它仍然有效,至少目前如此。
如上所述,这个模块很容易获得,并且在它被删除之前将可供所有人使用。它可以作为绕过权限的有用实用程序保留很长时间。证书吊销和杀毒检测可能有助于阻止滥用,但目前没有解决方案,因为它是一个合法的模块。
只有有限数量的具有有效签名的驱动程序文件预期具有与趋势科技研究人员在本文报告的权限绕过相当的行为。趋势科技研究人员建议安全团队和网络防御者监控其组织内哈希值的存在。趋势科技研究人员已经确认至少在这个文件中可以绕过权限:
mhyprot2.sys (0466e90bf0e83b776ca8716e01d35a8a2e5f96d3)
此外,趋势科技研究人员建议监控 Windows 事件日志以安装驱动程序对应的服务。如果不打算安装该服务,则强烈怀疑存在攻击:
Windows Event Log (System)—7045:系统中安装了新服务。服务名称:mhyprot2。
Windows Event Log (System)—7045解决方案
勒索软件运营商一直在寻找将恶意软件秘密部署到用户设备上的方法。使用流行游戏或其他娱乐来源是诱使受害者下载危险文件的有效方法。对于企业和组织来说,重要的是要监控在其设备上部署了什么软件,或者有适当的解决方案来防止感染的发生。
参考及来源:https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html