关注我们蓝点网给你感兴趣的内容
设置星标更快查看内容
http://landian.news
如果你在 PC 上安装米哈游的热门游戏原神,那么安装时系统会被自动安装米哈游反作弊模块 mhyprot2.sys,即便你卸载原神这个反作弊模块依然会驻留在系统中,如果你尝试删除文件会提示你文件正在使用无法删除。
因为该反作弊模块还会自启动对应的服务导致文件被占用,除非有技术技能的用户通过命令停止服务再删除。更糟糕的是趋势科技发现黑客利用这个模块干掉反病毒软件进程,然后在目标系统上安装勒索软件进行勒索。
米哈游当然不会直接开发后门程序,但这个反作弊模块存在漏洞实际上已经变成后门长期潜伏在用户电脑里。在某开源托管网站上已经有多个现成的概念验证 (PoC),概念验证表明很容易利用这个模块杀掉反病毒软件。趋势科技是怎么发现这个问题的呢?趋势科技的客户遭到勒索软件攻击,趋势科技分析后发现自己被干掉了,黑客利用米哈游这个漏洞将反病毒软件干掉后勒索软件就可以畅通无阻,因此实际上米哈游的这个反作弊模块已变成可用的后门程序。但你以为米哈游不知道这个问题?事实上从米哈游捆绑这个模块开始社区就已经发现,米哈游至今无动于衷。更恐怖的是利用这个漏洞并不需要用户安装原神再卸载,因为攻击者可以直接把这个模块捆绑到恶意软件里,任何有能力的黑客都可以使用该模块捆绑到自己软件里,这样还是可以达成利用这个驱动程序杀进程的目的。你可能会疑惑这个反作弊模块怎么能干掉反病毒软件呢?因为它运行在内核里,可以直接内核发布终止命令(这个 sys 还携带微软硬件实验性的兼容性数字签名,这也是可以直接内核运行的原因),目前这个反作弊模块携带的数字签名仍然有效,米哈游至今没有撤销签名,导致该模块仍然可以被黑客利用。在 Github 上的概念验证可以成功杀掉 360 安全卫士进程,实际上诸如 AVAST、AVG、趋势等等都可以被杀掉。而且这些概念验证已经公开(早在 2020 年就公开了),原本不知道该漏洞的黑客都可以找到驱动然后利用概念验证反推漏洞利用方法。现在米哈游要是继续装死的话估计会引起更大的安全问题,或者:所有安全公司集体封杀米哈游反作弊模块。PS:下图这个 PoC 发布的时候 360 就把米哈游的这个后门给杀了,两年前的事儿不是最近的。
热☍支付宝新套路 打工人太难了!
门☍三星NB!退回980要求先锤子砸碎
推☍NV利润暴跌72% 老黄承认GPU降价
荐☍淘宝新功能上线确实很香但问题不少