avg anti(avgantivirus好用吗)
勒索攻击者滥用Genshin Impact的反作弊系统禁用杀毒软件。
根据趋势科技(web link)的报告,网络犯罪分子使用易受攻击的Genshin Impact游戏的反作弊驱动程序来禁用反病毒程序,以部署勒索软件。
勒索病毒感染是在2022年7月的最后一周触发的,因为相关驱动(“mhyprot2.sys”)是用有效证书签名的,可以规避特权,终止安全软件。
Genshin Impact是一款流行的动作角色扮演游戏,由上海开发商miHoYo于2020年9月开发并发布。
攻击链中使用的驱动是2020年8月构建的,相关模块存在漏洞,可以杀死任何进程,升级到内核模式。攻击者可以使用带有有效代码签名的合法设备驱动程序模块将权限从用户模式升级到内核模式。
“威胁行为者旨在受害者的设备中部署勒索软件,然后传播感染。”事件应对分析师瑞安·索利文和古谷仁美·木村说。
在趋势科技分析的事件中,属于未命名实体的受感染端点被用作通过远程桌面协议(RDP)连接到域控制器的管道,伪装成AVG安全软件的安装程序被传输到该端点,该安装程序执行带有漏洞和合法签名的驱动程序。
研究人员表示,攻击的目标是安装驱动程序,杀死反病毒服务并启动勒索病毒有效载荷,然后通过域控制器大规模部署勒索病毒。
如果系统中没有安装原神游戏,但是有原神防作弊驱动存在,可以视为部署勒索软件的前兆。
这个模块很容易获得,现在每个人都可以使用。它可以在很长一段时间内用作绕过特权的实用程序。“证书吊销和反病毒检测可能有助于防止滥用,但目前没有解决方案,因为它是一个合法的模块。”
参考链接:thehackernews.com
