米哈遊網路(HoYoverse)旗下開放世界多平台動作 RPG《原神》(Genshin Impact)按照時程進行了各種更新,如最近實裝的 3.0 版本須彌添加了新角色、擴展故事線和其他功能。
然而,美國資安公司趨勢科技近日釋出的一份報告指出,這款風靡全球人氣作品的防作弊功能遭到駭客濫用,攻擊防毒軟體和服務並大規模部署勒索軟體。
說到反作弊系統,玩家可能聽過一些程式名稱,諸如 Easy Anti-Cheat 和 BattlEye,《原神》則有一個獨立的防作弊程式「mhyprot2.sys」,米哈遊一開始將其添加到遊戲中以防止玩家作弊。趨勢科技在一份 8 月 24 日釋出的報告中提到,團隊自 7 月底發現該程式出了大問題,嚴重影響資安環境。
簡而言之,《原神》的防作弊軟體是以「設備驅動程式」的身分在運作,在玩家的電腦或行動裝置內有核心等級的授權,當駭客入侵時,這個軟體會被濫用來繞過各種保護措施,最終摧毀終端保護措施。由於一般合法驅動程式經常直達系統中樞,企業應該謹慎審視系統中的此類檔案。
Wccftech 的報導進一步引用趨勢科技的報告解釋,這個防作弊軟體的「感染版本」會伴隨著一個 kill.svc 檔案,它會安裝並運作一個假的 AVG 防毒軟體,將各種檔案轉存為勒索軟體的人質。這個勒索軟體也會關閉各種通常能保護使用者的防毒軟體(從使用者提供給趨勢科技的概念驗證 PoC 可以看出,該軟體關閉了 360 全方位安全衛士)。
勒索軟體成功在電腦環境落地,也開始加密檔案並使其無法使用,還可以透過遠端執行工具 PsExec 部署到其他電腦上。這或將引發更危險的狀況:理論上如果這種勒索軟體進到一個有自己區網的辦公大樓資料中心,那整棟樓的任何電腦都暴露在危險中。
如今,這個問題已經開始困擾米哈遊團隊。mhyprot2.sys 已長期被用於傳輸 DLL 檔案(動態連結程式庫),看起來官方既不關心也不知道如何解決,畢竟早有人回報這個問題,但沒有被承認是 Bug,意思就是漏洞依然存在。
Wccftech 告誡玩家應該注意:往後《原神》玩家要非常小心下載的檔案,並時常監視 Windows 事件記錄檔,看看是否有任何軟體「被安裝」,解決方法之一或許是透過串流平台如 GeForce NOW 玩遊戲。
(8/26 今天是凝光生日)
Happy Birthday, Ningguang!
— Genshin Impact (@GenshinImpact) August 26, 2022
In business dealings, it is helpful to know the likes and dislikes of others in advance for subsequent negotiations.
Thanks to tokki for the fantastic artwork!
Want to see more of #Ningguang? Head over to https://t.co/JwtoQ3cQzd#GenshinImpact pic.twitter.com/niDXrq3VzK
