90の日記: PC版『原神』同梱のアンチチートドライバ"mhyprot2.sys"を悪用するマルウェアが出現、トレンドマイクロ 3
日記 by
90
・mhyprot2.sysはMS署名済みドライバで、システムの全メモリ領域を読み書きできる
・インストールが必要なのはこのドライバファイルのみ。ゲーム本体はほぼ無関係
・既にGPOで配りウイルス対策を殺すなど、ランサムウェア攻撃で使われている
・kagurazakasanae 氏と Kento Oki 氏によってPoCが公開されている
https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html
https://github.com/kagurazakasanae/Mhyprot2DrvControl
https://github.com/kkent030315
https://pc.watch.impress.co.jp/docs/news/1435071.html
トレンドマイクロが指摘なのが面白い (スコア:1)
トレンドマイクロ製品のドライバーでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかる [security.srad.jp]
アンチチートはマルウェア (スコア:0)
知ってる
対策は簡単なんだけどね。 (スコア:0)
まあ、会社だったら単純にmhyprot2.sysを書き込まれない+読み込まれないように、それこそアンチウィルスソフトウェアのファイルフィルタに書いてあげるだけでいいんですけどね。
書き込まれて読み込まれた後だとどうしようもないんで、さっさと書きましょ。
(というより、企業向けには既に公表時点でふるまい検知のパターンファイル配られてるとは思うけど)
個人も会社と対策自体は同じだけど、原神の会社のソフトやりたければVLANとACL掛けましょ(orルーターから分けましょ)って感じ。