Обычно установку компьютерных игр на корпоративных устройствах отслеживают или запрещают по той простой причине, что на работе надо работать, а не играть. Но есть еще один аргумент: большой ассортимент софта на компьютерах сотрудников расширяет возможности для атаки. Недавнее исследование показывает практическую атаку с использованием игрового кода. Правда, любители поиграть на рабочем устройстве оказались ни при чем: проблема была в чрезмерно широких полномочиях античит-системы, которой организаторы атаки воспользовались для отключения средств защиты.


Игра Genshin Impact разработана китайской компанией miHoYo Limited. Она вышла в сентябре 2020 года. Вместе с билдом для Windows игра устанавливает драйвер mhyprot2.sys с цифровой подписью, который является частью системы для борьбы с читерами. Анализ киберинцидента выявил использование этого драйвера практически без модификаций в ходе атаки на инфраструктуру организации.

Исследователи из Trend Micro достаточно подробно анализируют атаку на неназванную компанию: предположительно, все началось с кражи данных учетной записи одного из администраторов. С помощью этой учетной записи злоумышленники получили удаленный доступ к контроллеру домена. Уже с этого сервера была проведена пробная атака на рабочую станцию: на ней был инициирован запуск нескольких программ и batch-файлов, включая тот самый драйвер mhyprot2.sys из Genshin Impact. Другая утилита собирала данные о запущенных на компьютере процессах, связанных с системами безопасности, затем mhyprot2.sys задействовался для остановки этих процессов.

Далее злоумышленники планировали запуск вредоносного кода для шифрования файлов, но автоматически это сделать не получилось — атакующим пришлось повторно запускать программу вручную. В статье этот момент подробно не раскрывается, но, судя по всему, атаку удалось остановить до нанесения серьезного ущерба. Мотивы злоумышленников понятны: план был в установке вредоносного кода на все компьютеры сотрудников и масштабное шифрование данных.

Преимущества использования mhyprot2.sys в атаках понятны: это как бы легитимное ПО, драйвер имеет цифровую подпись, его с большей вероятностью пропустят системы защиты и мониторинга. Разработчики Genshin Impact наделили эту часть античит-системы слишком широкими возможностями, включая чтение и запись в память с максимальными привилегиями, остановку процессов. Здесь трудно говорить об «уязвимости», так как, по сути, задействуется штатная функциональность драйвера, но во вредоносных целях.

Интересно, что некоторая странность в поведении драйвера была отмечена пользователями игры практически сразу после релиза. В частности, даже после удаления игры драйвер остается в системе, теоретически подвергая пользователей дополнительному риску. А в октябре 2020 года на форумах обсуждалось применение античит-драйвера для… борьбы с другими античит-системами. Неаккуратный код рано или поздно должны были начать использовать во вредоносных целях.

Другие известные случаи использования ПО с легитимной цифровой подписью обычно связаны с кражей приватных ключей у компаний-разработчиков. Здесь же этого не требуется. Кстати, летом прошлого года исследователи обращались в miHoYo Limited, но компания не посчитала наличие такого драйвера проблемой. Уменьшить риск успешной атаки с использованием такого инструмента может отзыв сертификата у драйвера. Ну и администраторам корпоративных систем защиты рекомендуется отслеживать запуск подобных программ — это далеко не всегда может быть связано с тем, что какой-то сотрудник решил поиграть на рабочем месте.

Что еще произошло:

«Лаборатория Касперского» публикует сводную статистику по корпоративным инцидентам. По данным компании, более чем в половине случаев взлома корпоративных инцидентов преследовалась цель шифрования файлов с последующим требованием выкупа. В 62,5% случаев атаки с вымогательством злоумышленники сохраняли доступ к инфраструктуре жертвы более месяца перед тем, как начать шифровать файлы.

Свежее обновление браузера Google Chrome закрывает уязвимость zero-day (CVE-2022-3075), которая уже используется в атаках. По данным Bleeping Computer, это шестой по счету zero-day в Chrome за 2022 год.