18+

《原神》防作弊系統出現漏洞 駭客將藉其「殺死」防毒放勒索軟體大舉入侵

圖/米哈遊
圖/米哈遊

米哈遊網路(HoYoverse)旗下開放世界多平台動作 RPG《原神》(Genshin Impact)按照時程進行了各種更新,如最近實裝的 3.0 版本須彌添加了新角色、擴展故事線和其他功能。

圖/米哈遊
圖/米哈遊

然而,美國資安公司趨勢科技近日釋出的一份報告指出,這款風靡全球人氣作品的防作弊功能遭到駭客濫用,攻擊防毒軟體和服務並大規模部署勒索軟體。

說到反作弊系統,玩家可能聽過一些程式名稱,諸如 Easy Anti-Cheat 和 BattlEye,《原神》則有一個獨立的防作弊程式「mhyprot2.sys」,米哈遊一開始將其添加到遊戲中以防止玩家作弊。趨勢科技在一份 8 月 24 日釋出的報告中提到,團隊自 7 月底發現該程式出了大問題,嚴重影響資安環境。

圖/米哈遊
圖/米哈遊

簡而言之,《原神》的防作弊軟體是以「設備驅動程式」的身分在運作,在玩家的電腦或行動裝置內有核心等級的授權,當駭客入侵時,這個軟體會被濫用來繞過各種保護措施,最終摧毀終端保護措施。由於一般合法驅動程式經常直達系統中樞,企業應該謹慎審視系統中的此類檔案。

Wccftech 的報導進一步引用趨勢科技的報告解釋,這個防作弊軟體的「感染版本」會伴隨著一個 kill.svc 檔案,它會安裝並運作一個假的 AVG 防毒軟體,將各種檔案轉存為勒索軟體的人質。這個勒索軟體也會關閉各種通常能保護使用者的防毒軟體(從使用者提供給趨勢科技的概念驗證 PoC 可以看出,該軟體關閉了 360 全方位安全衛士)。

圖/kagurazakasanae
圖/kagurazakasanae

勒索軟體成功在電腦環境落地,也開始加密檔案並使其無法使用,還可以透過遠端執行工具 PsExec 部署到其他電腦上。這或將引發更危險的狀況:理論上如果這種勒索軟體進到一個有自己區網的辦公大樓資料中心,那整棟樓的任何電腦都暴露在危險中。

如今,這個問題已經開始困擾米哈遊團隊。mhyprot2.sys 已長期被用於傳輸 DLL 檔案(動態連結程式庫),看起來官方既不關心也不知道如何解決,畢竟早有人回報這個問題,但沒有被承認是 Bug,意思就是漏洞依然存在。

Wccftech 告誡玩家應該注意:往後《原神》玩家要非常小心下載的檔案,並時常監視 Windows 事件記錄檔,看看是否有任何軟體「被安裝」,解決方法之一或許是透過串流平台如 GeForce NOW 玩遊戲。

(8/26 今天是凝光生日)

本日熱門 本周最熱 本月最熱