{"id":20052,"date":"2022-09-29T14:58:44","date_gmt":"2022-09-29T17:58:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20052"},"modified":"2022-09-29T14:58:44","modified_gmt":"2022-09-29T17:58:44","slug":"genshin-driver-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/","title":{"rendered":"Brecha em jogo pode permitir ataque corporativo"},"content":{"rendered":"<p>Lan\u00e7ado para PC e consoles em setembro de 2020, o videogame de a\u00e7\u00e3o e aventura <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Genshin_Impact\" target=\"_blank\" rel=\"noopener nofollow\">Genshin Impact<\/a> foi criado pela miHoYo Limited of China. A vers\u00e3o para Windows vem com um m\u00f3dulo de combate aos cheats de jogos, que incorpora um driver chamado mhyprot2.sys. Ele fornece ao mecanismo de defesa do jogo amplos privil\u00e9gios de sistema e possui uma assinatura digital para provar seus direitos. O jogo precisa disso para detectar e bloquear ferramentas que ajudam a contornar as restri\u00e7\u00f5es internas. Inesperadamente, os hackers encontraram outro uso para o driver.<\/p>\n<p>Em agosto de 2022, a Trend Micro divulgou um <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\" rel=\"noopener nofollow\">relat\u00f3rio<\/a> sobre um ataque incomum \u00e0 infraestrutura corporativa. O ataque usou esse driver espec\u00edfico mhyprot2.sys. Em poucas palavras, um grupo de hackers descobriu que poderia usar privil\u00e9gios de sistema praticamente ilimitados concedidos pelo driver e o certificado digital leg\u00edtimo associado como ferramentas para um ataque direcionado. E voc\u00ea nem precisa instalar o jogo em si para se tornar uma v\u00edtima.<\/p>\n<h2>Trabalhando em torno da prote\u00e7\u00e3o<\/h2>\n<p>O relat\u00f3rio detalha um ataque a uma v\u00edtima n\u00e3o identificada, omitindo o m\u00e9todo inicial que os hackers usaram para penetrar na infraestrutura corporativa. Tudo o que sabemos \u00e9 que eles usaram uma conta de administrador comprometida para acessar o controlador de dom\u00ednio via RDP. Al\u00e9m de roubar dados do controlador, camuflaram uma pasta compartilhada com um instalador malicioso disfar\u00e7ada de antiv\u00edrus. Os invasores usaram pol\u00edticas de grupo para instalar o arquivo em uma das esta\u00e7\u00f5es de trabalho \u2013 e isso provavelmente foi um ensaio para uma infec\u00e7\u00e3o em massa de computadores na organiza\u00e7\u00e3o.<\/p>\n<p>No entanto, a tentativa de instalar o malware na esta\u00e7\u00e3o de trabalho falhou: o m\u00f3dulo que deveria criptografar os dados \u2013 claramente esperado para ser seguido por um pedido de resgate \u2013 n\u00e3o foi executado e os invasores tiveram que inici\u00e1-lo manualmente mais tarde. No entanto, eles conseguiram instalar o driver perfeitamente legal mhyprot2.sys da Genshin Impact. Outro utilit\u00e1rio que eles implantaram no sistema reuniu dados sobre processos que poderiam interferir na instala\u00e7\u00e3o do c\u00f3digo malicioso.<\/p>\n<div id=\"attachment_20054\" style=\"width: 174px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-20054\" class=\"wp-image-20054 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2022\/09\/29145614\/genshin-driver-attack-processes.jpg\" alt='Lista de processos parados for\u00e7ados pelo driver do jogo &lt;a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\" rel=\"nofollow\"&gt;Fonte&lt;\/a&gt;.' width=\"164\" height=\"480\"><p id=\"caption-attachment-20054\" class=\"wp-caption-text\">Lista de processos parados for\u00e7ados pelo driver do jogo <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\" rel=\"nofollow noopener\">Fonte<\/a>.<\/p><\/div>\n<p>Todos os processos da lista, incluindo solu\u00e7\u00f5es de seguran\u00e7a ativas no computador, foram interrompidos pelo driver mhyprot2.sys, um por um. Uma vez que o sistema foi despojado de suas defesas, a ferramenta de malware real foi iniciada, criptografando arquivos e deixando uma mensagem de resgate.<\/p>\n<h2>N\u00e3o \u00e9 um ataque normal<\/h2>\n<p>O caso \u00e9 interessante, pois demonstra a explora\u00e7\u00e3o do que \u00e9 essencialmente um software leg\u00edtimo distribu\u00eddo como parte de um jogo de computador bastante popular. A Trend Micro descobriu que o driver mhyprot2.sys usado no ataque foi de agosto de 2020 \u2013 pouco antes do lan\u00e7amento inicial do jogo. Os cibercriminosos tendem a usar certificados privados roubados para assinar programas maliciosos ou explorar vulnerabilidades em software leg\u00edtimo. Nesse caso, no entanto, os hackers utilizaram os recursos regulares do driver, ou seja, acesso total \u00e0 RAM e a capacidade de interromper qualquer processo no sistema. Esses programas leg\u00edtimos representam um risco adicional para o administrador de infraestrutura corporativa, pois podem ser facilmente ignorados pelas ferramentas de monitoramento.<\/p>\n<p>Os usu\u00e1rios do <em>Genshin Impact<\/em> levaram algum tempo para perceber o comportamento um tanto incomum do mhyprot2.sys. Por exemplo, o m\u00f3dulo permaneceu no sistema mesmo ap\u00f3s a desinstala\u00e7\u00e3o do jogo, o que significa que todos os usu\u00e1rios de PC do jogo, tanto atuais quanto passados, est\u00e3o um pouco vulner\u00e1veis \u200b\u200be seus computadores s\u00e3o mais f\u00e1ceis de atacar. Curiosamente, as <a href=\"https:\/\/www.unknowncheats.me\/forum\/anti-cheat-bypass\/419457-mhyprot2-read-process-kernel-memory-valid-signature-driver-2.html\" target=\"_blank\" rel=\"noopener nofollow\">discuss\u00f5es<\/a> nos f\u00f3runs de trapa\u00e7as sobre como o driver poderia ser explorado para combater sistemas antifraude, tamb\u00e9m aproveitando os amplos recursos do m\u00f3dulo e a assinatura digital, datam de outubro de 2020.<\/p>\n<p>Isso deve servir como um lembrete para que desenvolvedores de software com privil\u00e9gios elevados usem seus direitos de sistema com cautela; caso contr\u00e1rio, seu c\u00f3digo pode ser usado para ciberataques em vez de prote\u00e7\u00e3o contra hackers. Os desenvolvedores do <em>Genshin Impact<\/em> foram informados sobre os poss\u00edveis problemas associados ao driver no ver\u00e3o passado, mas n\u00e3o consideraram o comportamento perigoso do m\u00f3dulo um problema. Por um lado, a assinatura digital ainda estava em vigor no final de agosto de 2022.<\/p>\n<h2>Recomenda\u00e7\u00f5es para as empresas<\/h2>\n<p>Voc\u00ea pode reduzir o risco de um ataque bem-sucedido descrito no cen\u00e1rio acima, incluindo o driver potencialmente perigoso em sua lista de monitoramento e usando <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">medidas de seguran\u00e7a<\/a> com amplos recursos de autodefesa. N\u00e3o se esque\u00e7a de que os hackers inicialmente obtiveram acesso ao controlador de dom\u00ednio. Ent\u00e3o essa situa\u00e7\u00e3o j\u00e1 era perigosa: eles poderiam usar truques menos inovadores para continuar espalhando malware pela rede corporativa.<\/p>\n<p>Normalmente, a detec\u00e7\u00e3o de jogos instalados nos computadores dos funcion\u00e1rios s\u00f3 \u00e9 considerada importante do ponto de vista da produtividade. O incidente antifraude com o <em>Genshin Impact<\/em> \u00e9 um lembrete de que programas \u201cdesnecess\u00e1rios\u201d podem ser n\u00e3o apenas uma distra\u00e7\u00e3o, mas tamb\u00e9m um risco extra de seguran\u00e7a. Eles adicionam software potencialmente vulner\u00e1vel e, em alguns casos, trazem c\u00f3digos abertamente perigosos para dentro do per\u00edmetro de seguran\u00e7a.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Um caso incomum de ataque executado utilizando c\u00f3digos leg\u00edtimos de um jogo.<\/p>\n","protected":false},"author":665,"featured_media":20053,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3060,3059,805,240],"class_list":{"0":"post-20052","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-antifraude","11":"tag-driver","12":"tag-hacker","13":"tag-vulnerabilidade"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/genshin-driver-attack\/24581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/genshin-driver-attack\/20047\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/genshin-driver-attack\/27034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/genshin-driver-attack\/24938\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/genshin-driver-attack\/33982\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/genshin-driver-attack\/11023\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/genshin-driver-attack\/45494\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/genshin-driver-attack\/25454\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/genshin-driver-attack\/30988\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/genshin-driver-attack\/30683\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidade\/","name":"vulnerabilidade"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20052"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20052\/revisions"}],"predecessor-version":[{"id":20056,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20052\/revisions\/20056"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20053"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}