image

Ransomware gebruikt anti-cheatdriver videogame voor uitschakelen antivirus

woensdag 24 augustus 2022, 16:13 door Redactie, 5 reacties

Aanvallers maken gebruik van een anti-cheatdriver van de videogame Genshin Impact om zo antivirussoftware bij organisaties uit te schakelen en daarna ransomware uit te rollen. De driver in kwestie is eenvoudig verkrijgbaar en onafhankelijk van de videogame te gebruiken. Daarnaast is het code signing certificaat van de driver nog altijd geldig, zo waarschuwt antivirusbedrijf Trend Micro. Genshin Impact is een action role-playing game voor verschillende platforms met meer dan 60 miljoen actieve spelers.

Om valsspelen tegen te gaan maakt het spel gebruik van een speciale anti-cheatdriver genaamd "mhyprot2.sys". Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold. De betreffende driver kan echter voor allerlei malware worden gebruikt.

Dat het mogelijk is om via de anti-cheatdriver rechten te verhogen is al twee jaar bekend en ook gemeld bij de gameontwikkelaar als kwetsbaarheid. Het probleem is echter nooit opgelost. Het certificaat gebruikt voor het signeren van de driver is ook nog altijd geldig en het is de vraag of het zal worden ingetrokken, zo stellen de onderzoekers.

"Zoals eerder opgemerkt is deze driver zeer eenvoudig te verkrijgen en zal totdat die verdwijnt voor iedereen beschikbaar zijn", zegt onderzoeker Ryan Soliven. Hij stelt dat de driver nog lange tijd bij aanvallen kan worden gebruikt voor het verhogen van rechten. "Het intrekken van het certificaat en antivirusdetectie zouden mogelijk het misbruik kunnen tegengaan, maar er zijn op dit moment geen oplossingen aangezien het om een legitieme driver gaat." Het onderzoek naar het gebruik van de driver bij aanvallen is nog gaande.

Reacties (5)
24-08-2022, 17:06 door spatieman
maar er werd nog steeds gecheat ,ondanks de driver.......
24-08-2022, 18:22 door Anoniem
Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold
Kijk daarom is het bij windows dweilen met de kraan open. Schrijf en executie rechten in kernel mode als gebruiker.
25-08-2022, 08:52 door Anoniem
Door Anoniem:
Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold
Kijk daarom is het bij windows dweilen met de kraan open. Schrijf en executie rechten in kernel mode als gebruiker.

Als je de driver slecht schrijft wel ja, maar dat kan onder elk OS. het is eerder. waarom mag er een driver geïnstalleerd worden door een game? hier zo je toch eerst de UAC moeten in kikken en zeggen dat iets probeert een driver te installeren.
25-08-2022, 11:00 door johanw
Door Anoniem:
Als je de driver slecht schrijft wel ja, maar dat kan onder elk OS. het is eerder. waarom mag er een driver geïnstalleerd worden door een game? hier zo je toch eerst de UAC moeten in kikken en zeggen dat iets probeert een driver te installeren.

Uiteraard krijg je wel zo'n prompt, maar als je weigert zal het spel niet draaien.

Het is nu dus niet alleen goedkoper en makkelijker, maar ook veiliger om spellen met DRM van betrouwbare bronnen als The Pirate Bay te downloaden ipv het te kopen.
25-08-2022, 14:47 door Anoniem
Cheaten kan tegenwoordig ook zonder software, inplaats daarvan met hardware :

De capture-card van je 2de PC analyseert de beelden,
je leert eerst een paar keer de "A.I.", hoe een vijand eruit ziet,
daarna bedient je 2de PC de muis van je game-computer.

Daarna stel je even wat smoothing-curves in om ondetecteerbaar te zijn,
eigenlijks hoef je zelf helemaal niet meer te spelen.

Dit alles werkt ook met een Playstation, niet alleen op PC.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.