Атака на компанию с помощью игрового кода

Необычный случай атаки на организацию, в ходе которой использовался легитимный модуль из компьютерной игры.

Злоумышленники научились использовать драйвер из игры Genshin Impact для APT-атак.

Компьютерная игра Genshin Impact в жанре action-adventure была разработана китайской компанией miHoYo Limited и выпущена для ПК и игровых консолей в сентябре 2020 года. Вместе с версией игры для Windows устанавливается модуль для борьбы с игровыми мошенниками, в состав которого входит драйвер mhyprot2.sys. Драйвер имеет цифровую подпись и обеспечивает защитному механизму игры широкие права в системе. Это необходимо для поиска и блокирования средств, позволяющих обходить внутренние игровые ограничения. Однако злоумышленники нашли этому драйверу альтернативное применение.

В августе 2022 года компания Trend Micro выпустила интересное исследование о необычной атаке на корпоративную инфраструктуру, в ходе которой использовался именно этот драйвер из дистрибутива игры. Если коротко, то некие атакующие решили, что практически неограниченные права в системе, обеспечиваемые этим драйвером, и его легитимный цифровой сертификат можно использовать как инструменты таргетированной атаки. Устанавливать игру при этом не требуется.

Обход защитных систем

В исследовании достаточно подробно описывается развитие атаки на неназванную жертву, хотя и не показан первоначальный способ проникновения злоумышленников в корпоративную инфраструктуру. Известно только, что через взломанную учетную запись администратора злоумышленникам удалось получить доступ к контроллеру домена по протоколу RDP. Помимо кражи данных с контроллера, злоумышленники создали на нем общую папку, куда поместили инсталлятор с вредоносным кодом, замаскированный под антивирусное ПО. Через групповые политики на одной из рабочих станций была инициирована установка этого файла. Судя по всему, таким образом организаторы атаки репетировали массовое заражение компьютеров в организации.

Впрочем, тестовая установка на одну рабочую станцию закончилась провалом: модуль, ответственный за шифрование данных (очевидно, для последующего требования выкупа), не сработал — атакующим позднее пришлось запускать его вручную. Зато получилось установить тот самый легитимный драйвер mhyprot2.sys, взятый из дистрибутива Genshin Impact. С помощью еще одной утилиты в системе производился сбор данных о процессах, которые могут помешать установке вредоносного кода.

Список процессов, которые принудительно останавливались с помощью игрового драйвера.

Список процессов, которые принудительно останавливались с помощью игрового драйвера. Источник.

Все процессы из этого списка, включая работающие на компьютере защитные решения, последовательно останавливались с помощью драйвера mhyprot2.sys. Уже после на незащищенной системе запускалось настоящее вредоносное ПО, шифрующее файлы и оставляющее записку с требованием выкупа.

Нетривиальный взлом

В данном эпизоде интерес представляет использование по сути легитимного ПО, официально распространяемого в составе достаточно популярной игры. В Trend Micro выяснили, что драйвер mhyprot2.sys, использованный в атаке, был подписан в августе 2022 года, незадолго до первого релиза игры. Обычно злоумышленники используют украденные приватные сертификаты для подписи вредоносных программ либо эксплуатируют уязвимости в легитимном ПО. Здесь же, по сути, задействуется его обычная функциональность: полный доступ к оперативной памяти, возможность останавливать любые процессы в системе. Для администраторов корпоративной инфраструктуры такие «легитимные» программы — дополнительный риск, их легко пропустить в мониторинге.

То, что драйвер mhyprot2.sys ведет себя несколько странно, пользователи игры заметили почти сразу. Например, после удаления игры этот модуль все равно оставался в системе — получается, все нынешние и бывшие игроки в Genshin Impact на ПК отчасти уязвимы, их компьютеры проще атаковать. Примечательно, что в октябре 2020 года нецелевое применение того же драйвера для борьбы с античит-системами (также благодаря широким возможностям модуля и наличию цифровой подписи) уже обсуждалось на читерских форумах.

Для разработчиков подобных программных решений, имеющих высокие привилегии в системе, это является напоминанием, что пользоваться такими правами надо осторожно. Иначе можно вместо защиты от взломщиков добиться того, что ваш код будет использоваться для кибератак. Кстати, летом прошлого года о возможных проблемах с драйвером сообщили разработчикам игры. Они не посчитали опасное поведение модуля проблемой. Как минимум по состоянию на конец августа цифровая подпись драйвера не была отозвана.

Рекомендации для компаний

Снизить риск успешной атаки по такому сценарию поможет как включение потенциально опасного драйвера в список для мониторинга, так и средства безопасности с широкими возможностями самозащиты. Не стоит забывать и о том, что на начальной стадии атаки ее организаторы получили доступ к контроллеру домена. Ситуация уже была опасной: дальнейшее распространение по корпоративной сети атакующие могли выполнить и без таких хитрых приемов.

Любопытно, что детектирование игровых приложений на компьютерах сотрудников обычно рассматривается сквозь призму продуктивности. Инцидент с античит-модулем от Genshin Impact напоминает нам, что «лишние» программы могут не только отвлекать сотрудников от рабочих задач, но и добавлять риски безопасности. Эти программы расширяют ассортимент потенциально уязвимого ПО, а в некоторых случаях заносят в защитный периметр откровенно опасный код.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.