米哈游出来挨打!原神安装的「后门」驱动被黑客用来杀掉反病毒软件进程
如果你在PC上安装米哈游的热门游戏原神,那么安装时系统会被自动安装米哈游反作弊模块 mhyprot2.sys。
即便你卸载原神这个反作弊模块依然会驻留在系统中,如果你尝试删除文件会提示你文件正在使用无法删除。
因为该反作弊模块还会自启动对应的服务导致文件被占用,除非有技术技能的用户通过命令停止服务再删除。
更糟糕的是趋势科技发现黑客利用这个模块干掉反病毒软件进程,然后在目标系统上安装勒索软件进行勒索。
米哈游当然不会直接开发后门程序,但这个反作弊模块存在漏洞实际上已经变成后门长期潜伏在用户电脑里。
在某开源托管网站上已经有多个现成的概念验证 (PoC) ,概念验证表明很容易利用这个模块杀掉反病毒软件。
趋势科技是怎么发现这个问题的呢?趋势科技的客户遭到勒索软件攻击,趋势科技分析后发现自己被干掉了。
将反病毒软件干掉后勒索软件就可以畅通无阻,因此实际上米哈游的这个反作弊模块已变成可用的后门程序。
但你以为米哈游不知道这个问题?事实上从米哈游捆绑这个模块开始社区就已经发现,米哈游至今无动于衷。
更恐怖的是利用这个漏洞并不需要用户安装原神再卸载,因为攻击者可以直接把这个模块捆绑到恶意软件里。
任何有能力的黑客都可以使用该模块捆绑到自己软件里,这样还是可以达成利用这个驱动程序杀进程的目的。
你可能会疑惑这个反作弊模块怎么能干掉反病毒软件呢?因为它运行在内核里,可以直接内核发布终止命令。
目前这个反作弊模块携带的数字签名仍然有效,米哈游至今没有撤销签名,导致该模块仍然可以被黑客利用。
在Github上的概念验证可以成功杀掉360安全卫士进程,实际上诸如AVAST、AVG、趋势等等都可以被杀掉。
而且这些概念验证已经公开,原本不知道该漏洞的黑客都可以找到驱动然后利用概念验证反推漏洞利用方法。
现在米哈游要是继续装死的话估计会引起更大的安全问题,或者:所有安全公司集体封杀米哈游反作弊模块。
注:下图这个验证早在2020年就发布了,当时360就把这个 sys 给干掉了,所以现在不能拿来反杀360进程。