近日資訊安全公司 Trend Micro 發表報告,指 RPG《原神》反外掛程式被黑客利用作入侵用戶電腦,使防毒軟件無效,並為勒索軟件所惡用。
Trend Micro 指出現問題的是該「反外掛程式」中的「mhyprot2.sys」檔案,他們發現有勒索軟件中招的個案,是經由這個檔案感染。惡意軟件會藉由「mhyprot2.sys」入侵用戶電腦,並將保護電腦程序停止,再運行虛假的防毒軟件安裝程式,在用戶電腦安裝勒索軟件,以及安裝「kill.svc」令防毒軟件停止運作。
Trend Micro 指,系統管理員或資訊安全團隊,應該對「mhyprot2.sys」有所認知。Trend Micro 在發表報告時 mhyprot2.sys 的程式簽章仍然有效,不同種類的惡意軟件都有可能包含此檔案,所以就算沒有安裝《原神》遊戲,電腦也會成為黑客目標。
▲攻擊基本流程 圖片來源:Trend Micro
▲kill_svc.exe/HelpPane.exe 利用 NtOpenfile 功能呼叫 mhyprot2.sys 驅動程式
在 2020 年 8 月,即《原神》正式推出前的版本中已被人發現「mhyprot2.sys」所造成的影響。即使刪除《原神》遊戲,有關反外掛程式仍然會存在於用戶電腦之中。後來「mhyprot2.sys」成為安全問題,被指是間諜軟件,開發商 miYoHo 才改變了相關機制,在用戶刪除遊戲後同時刪除「mhyprot2.sys」(需要在重新啟動電腦後才生效)。當時 miYoHo 否認「mhyprot2.sys」是間諜軟件,指該程式只用作偵測電腦中所運行的軟件,從而檢測外掛程式,並無對外掛程式以外所讀取到的資料進行保存、處理、上載等操作。並解釋用家在刪除《原神》後仍然讓反外掛程式繼續運作,是用以阻止在遊戲沒啟動的情況下外掛程式使用者將外掛程式植入遊戲更新軟件中。
以下為當時原神公式Twitter的帖文:
圖片來源:Trend Micro
資料來源:Trend Micro, Twitter
