Ransomware menyalahgunakan mode kernel anti-cheat Genshin Impact untuk melewati perlindungan antivirus
April 30, 2023 ・0 comments ・Label: game
Skeptis dan pendukung keamanan telah khawatir untuk beberapa waktu sekarang bahwa eksploitasi yang dapat memanfaatkan driver mode kernel anti-cheat dapat mendatangkan malapetaka serius pada keamanan PC. Sekarang tampaknya telah terjadi: Driver anti-cheat yang digunakan oleh Genshin Impact, RPG free-to-play yang populer, telah disalahgunakan oleh aktor ransomware untuk menghentikan proses antivirus dan memungkinkan penyebaran massal ransomware mereka.
Sebuah whitepaper baru diterbitkan 24 Agustus untuk Trend Micro (terbuka di tab baru) menjelaskan bagaimana driver mhyprot2.sys yang sah digunakan, tanpa bagian lain dari Genshin Impact, untuk mendapatkan akses root ke sistem.
“Tim keamanan dan pembela harus memperhatikan bahwa mhyprot2.sys dapat diintegrasikan ke dalam malware apa pun,” tulis penulis Ryan Soliven dan Hitomi Kimura.
“Genshin Impact tidak perlu diinstal pada perangkat korban agar ini berfungsi; penggunaan driver ini tidak tergantung pada permainan.”
Driver mode kernel adalah inti dari sistem komputer Anda. Dengan risiko penyederhanaan yang berlebihan, perangkat lunak pada tingkat kernel umumnya memiliki kontrol lebih besar atas PC Anda daripada Anda. Anti-cheat Genshin Impact sebelumnya sedang diteliti karena terus berjalan—pada level kernel—bahkan setelah Anda menutup game. Pengembang HoYoVerse, yang kemudian dikenal sebagai MiHoYo, kemudian mengubahnya. (terbuka di tab baru)
Makalah ini jelas bahwa ini adalah pelanggaran keamanan yang parah dari seluruh lingkungan operasi Windows. Ini mencatat bahwa modul driver “tidak dapat dihapus setelah didistribusikan” dan pada dasarnya tidak berbahaya — hanya bagian dari perangkat lunak yang sah yang dapat disalahgunakan.
“Modul ini sangat mudah diperoleh dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya,” tulis surat kabar tersebut. “Itu bisa tetap untuk waktu yang lama sebagai utilitas yang berguna untuk melewati hak istimewa. Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”
Ini bukan pertama kalinya anti-cheat tingkat kernel menjadi masalah keamanan bagi industri game. Pukulan ganda terjadi pada Mei 2020 ketika kedua Riot Games ‘Valorant (terbuka di tab baru) dan Doom Eternal (terbuka di tab baru) dirilis dengan mode kernel anti-cheat. Pada saat itu, Riot mencatat bahwa banyak perangkat lunak anti-cheat tingkat kernel lainnya sudah ada—meskipun tidak sejauh perangkat lunak Vanguard Riot, yang dimulai saat Windows boot.
Tetapi teknologi anti-cheat tingkat kernel umumnya efektif, dan untuk beberapa gamer yang muak berurusan dengan cheater, itu membuat risikonya berharga. Pada akhir tahun lalu, misalnya, para pemain Call of Duty cukup tidak senang dengan cheater yang disambut baik oleh beberapa orang (terbuka di tab baru) Activision Blizzard memiliki akses ke setiap bit memori di seluruh PC mereka.
Terlepas dari sejarah dan penggunaan yang sekarang tersebar luas, penyalahgunaan semacam ini persis seperti yang diperingatkan oleh mereka yang takut akan penyebaran anti-cheat kernel-mode. Jika kerentanan telah ditemukan, apa yang berikut ini bisa jauh lebih buruk daripada kerentanan dalam perangkat lunak anti-cheat tingkat pengguna yang normal. Saya telah menghubungi MiHoYo untuk mengomentari laporan tersebut, dan akan memperbarui jika saya menerima balasan.
Jangan lupa kunjungi top up domino murah 2k
Posting Komentar
Jika kamu tidak bisa berkomentar, gunakan google chrome.