Программа-вымогатель злоупотребляет античитом Genshin Impact
Скептики и сторонники безопасности уже некоторое время беспокоятся о том, что эксплойты, способные использовать преимущества драйверов режима ядра для защиты от читов, могут нанести серьезный ущерб безопасности ПК. Теперь, похоже, это произошло: Античит-драйвер, используемый популярной бесплатной RPG Genshin Impact, был использован злоумышленником-вымогателем для остановки антивирусных процессов и обеспечения массового развертывания их программ-вымогателей.
Новый технический документ, опубликованный 24 августа в Trend Micro (открывается в новой вкладке), объясняет, как совершенно законный драйвер mhyprot2.sys был использован, в отсутствие каких-либо других частей Genshin Impact, для получения корневого доступа к системе.
"Группы безопасности и защитники должны учитывать, что mhyprot2.sys может быть интегрирован в любую вредоносную программу", - написали авторы Райан Соливен и Хитоми Кимура.
"Чтобы это сработало, Genshin Impact не нужно устанавливать на устройство жертвы; использование этого драйвера не зависит от игры".
Драйверы режима ядра находятся в самом ядре системы вашего компьютера. Рискуя сильно упростить, программное обеспечение на уровне ядра, как правило, имеет больший контроль над вашим ПК, чем вы сами. Античит Genshin Impact ранее подвергался критике за то, что он продолжал работать - на уровне ядра — даже после того, как вы закрыли игру. Разработчик HoYoVerse, тогда известный как miHoYo, позже изменил это. (открывается в новой вкладке)
В документе ясно указано, что это серьезное нарушение безопасности всей операционной среды Windows. В нем отмечается, что модуль драйвера "не может быть удален после распространения" и по своей сути не является вредоносным — просто злоупотребляемая часть законного программного обеспечения.
"Этот модуль очень легко получить, и он будет доступен всем до тех пор, пока его не сотрут с лица земли", - говорится в документе. "Это может оставаться в течение длительного времени полезной утилитой для обхода привилегий. Отзыв сертификата и обнаружение антивируса могут помочь предотвратить злоупотребление, но в настоящее время нет никаких решений, поскольку это законный модуль."
Это далеко не первый случай, когда античит на уровне ядра становится проблемой безопасности для игровой индустрии. Двойной удар пришелся на май 2020 года, когда обе игры Riot Valorant (открывается в новой вкладке) и Doom Eternal (открывается в новой вкладке) были выпущены с античитом в режиме ядра. В то время Riot отмечали, что уже существовало множество других программ для защиты от читов на уровне ядра, хотя и не в такой степени, как программное обеспечение Riot Vanguard, которое запускается при загрузке Windows.
Но технология защиты от читов на уровне ядра, как правило, эффективна, и для некоторых геймеров, которым надоело иметь дело с читерами, это делает риск оправданным. К концу прошлого года, например, игроки Call of Duty были настолько недовольны читерами, что некоторые приветствовали (открывается в новой вкладке) Activision Blizzard, имеющую доступ к каждому биту памяти на всем их ПК.
Независимо от истории и ныне широко распространенного использования, такого рода злоупотребления - это именно то, о чем предупреждали те, кто опасался распространения античита в режиме ядра. Если уязвимость была обнаружена, то последующие действия могут быть значительно хуже, чем уязвимости в обычном античит-программном обеспечении пользовательского уровня. Я обратился к МиХоЙо за комментариями к отчету и обновлю его, если получу ответ.
0 комментариев
Recommended Comments
Нет комментариев для отображения
Создайте аккаунт или войдите для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас