黑客正在滥用广受欢迎的 Genshin Impact 反作弊系统驱动程序来禁用防病毒软件,同时进行勒索软件攻击。
趋势科技调查显示,网络犯罪分子利用一个易受攻击的Genshin Impact 视频游戏反作弊驱动程序来禁用防病毒程序部署勒索软件。据悉,驱动程序/模块“mhypro2.sys”不需要目标系统来安装游戏,它可以独立运行,甚至可以嵌入恶意软件中,这也就为黑客提供了一个禁用安全软件的强大“外挂”。
自 2020 年以来,易受攻击的驱动程序就已 为人所知 ,它可以访问任何进程/内核内存,并能够使用最高权限终止进程。研究人员过去曾多次向供应商报告过该问题。但是,代码签名证书尚未被吊销,因此该程序仍然可以安装在 Windows 上而不会引发任何警报。
更糟糕的是,自 2020 年以来,GitHub 上至少有两个概念验证漏洞利用,详细介绍了如何从用户模式读取/写入具有内核模式权限的内核内存、枚举线程和终止进程。[阅读原文]