1: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:03:27.51 ID:GJ0qCwHf9
Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。
7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。
mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。
このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。
同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。
Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html
7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。
mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。
このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。
同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。
Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html
4: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:07:30.22 ID:L+0T4YWm0
8: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:09:28.90 ID:fYsK++z/0
nProtectの悪夢ふたたび
16: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:12:41.03 ID:wR/UNEG40
>>8
悪夢だったな
nProtectというウィルス
勝手に設定書き換えるわ
ロックして起動しなくなるわ
挙句の果てにOSを破壊するという
悪夢だったな
nProtectというウィルス
勝手に設定書き換えるわ
ロックして起動しなくなるわ
挙句の果てにOSを破壊するという
97: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 20:28:37.92 ID:KlvSRzw+0
>>16
ゲームの起動ランチャーとかもバックドアとキャプチャ機能内蔵しててやりたい放題だったよな
ゲームの起動ランチャーとかもバックドアとキャプチャ機能内蔵しててやりたい放題だったよな
14: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:11:00.70 ID:xLO6XhkF0
開発元は修正する気が今のところない
このドライバだけを攻撃対象にどうにかして入れてやればいいので
原神がインストールされているかどうかは関係なく攻撃できる
わざとやってるの?
このドライバだけを攻撃対象にどうにかして入れてやればいいので
原神がインストールされているかどうかは関係なく攻撃できる
わざとやってるの?
15: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:11:58.87 ID:jdL2+kyq0
極光とかラグナドとかガチガチすぎてPC版は起動するのにひと手間かかるんですよ……
21: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:14:22.77 ID:V3n7OSlW0
なんか裏で動いてそうで怖すぎ
22: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:14:29.09 ID:a01HknSw0
バックドア完備やん
23: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:14:47.12 ID:FcDK1TfF0
俺は放置少女が無事ならいい
24: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:14:52.68 ID:fYsK++z/0
セキュリティ固め過ぎて顧客離れしたのがガンホーとネクソンだっけ?
27: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:15:34.31 ID:wR/UNEG40
まぁこの手のアンチチートは、
OSやHDD破壊してからが本番だろ?w
OSやHDD破壊してからが本番だろ?w
93: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:54:00.97 ID:pJhUqOHK0
>>27
普通のアップデータがほかのフォルダのファイル削除した某ゲームの悪口はやめてさしあげろ
普通のアップデータがほかのフォルダのファイル削除した某ゲームの悪口はやめてさしあげろ
29: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:18:15.88 ID:cUKRx/OR0
初日から話題になってて
まだ結局これかよ
不自由にさせるだけのソフトってチートがいるよりマイナスだろ
まだ結局これかよ
不自由にさせるだけのソフトってチートがいるよりマイナスだろ
33: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:24:45.26 ID:Pmh+6DmM0
オレオレ詐欺で騙される老人と同じ
これからも何度も騙されるんだろうな
これからも何度も騙されるんだろうな
37: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:27:38.92 ID:jZP/xw2B0
監視ツールがスパイウエアとかMMOあるあるのような
42: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:30:22.74 ID:ecVPxdzL0
子供のスマホやPCにランサム攻撃してもなあ
大の大人がやるもんじゃねえだろうし
大の大人がやるもんじゃねえだろうし
43: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:31:49.25 ID:uwtVYxe60
公式なんだろ
44: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:35:27.69 ID:/BG1JRqu0
単体で動くって言っても原神がインストールされてなきゃ持ってない可能性が高いんでしょ?
事前にこいつをダウンロードさせるってこと?
署名済みだからこのファイルのダウンロードはセキュリティを突破しやすいってこと?
事前にこいつをダウンロードさせるってこと?
署名済みだからこのファイルのダウンロードはセキュリティを突破しやすいってこと?
45: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:38:50.72 ID:4kjuHVOZ0
スパイウェアってこと?
47: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:40:04.29 ID:8sCF+vF60
半期で3000億稼ぐビッグタイトルがスパイウェアとかありえない
49: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:42:05.60 ID:LWId3GJo0
説明がよくわからんのだがつまりどういうこと?
60: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:57:19.00 ID:j9Wj3qpz0
PC版の事でしょ
じゃ関係ないな
じゃ関係ないな
61: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 18:57:34.89 ID:Im9A2mZ90
アンインストールしても消えないのは草
67: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:03:07.30 ID:zcshtXYv0
難しいことよくわかんないから、CCCDとどっちが強いか教えて
70: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:08:49.74 ID:a01HknSw0
>>67
こっちの方が強いな
管理者権限の大盤振る舞い
こっちの方が強いな
管理者権限の大盤振る舞い
82: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:28:46.60 ID:0AUHwkyQ0
>>67
CCCDは知識ない素人でもソフト一つで回避できるからなぁw
CCCDは知識ない素人でもソフト一つで回避できるからなぁw
73: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:15:13.18 ID:fYsK++z/0
AndroidとiOSは関係ないと思われ(.sysというドライバファイルの概念を使わないので)
PS4,5はシステムわからんが少なくともPC版の話かな
HoYoverse垢でクロスプラットフォームで遊んでる人もいちおう気をつけた方がいいのかな
PS4,5はシステムわからんが少なくともPC版の話かな
HoYoverse垢でクロスプラットフォームで遊んでる人もいちおう気をつけた方がいいのかな
76: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:21:43.27 ID:5k0KDyvw0
PS勢には関係ねえな
81: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:28:15.09 ID:HtFSmWnD0
ちょっとカタカナ多すぎて何が書いてあるのかわからないです
アンチでアンチをアンチに使うみたいな感じか
アンチでアンチをアンチに使うみたいな感じか
85: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 19:33:55.79 ID:fYsK++z/0
今のアンチウイルスソフトは hosts という名前のファイルを中身を見もせずにホスト不正書き換えファイルと見做してウイルス扱いしてくるので…
ありがたいシステムであると同時にめんどくさいシステムでもある
それはそれとしてnProまでアンチウイルスに引っかかるのはさすがにどうなんだろ
ありがたいシステムであると同時にめんどくさいシステムでもある
それはそれとしてnProまでアンチウイルスに引っかかるのはさすがにどうなんだろ
98: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 20:29:33.90 ID:WQJzFd4w0
オンゲそのものがヤバいからな
チート防ごうと思ったら仕込むしかないんだけど
どうしてもやりたかったら専用のPC用意しろってこった
チート防ごうと思ったら仕込むしかないんだけど
どうしてもやりたかったら専用のPC用意しろってこった
107: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 20:58:07.64 ID:wUl7Ozw10
ランサムウェアってバックアップさえきちんとしてりゃ問題なし?
109: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 21:08:44.24 ID:P3YURqQZ0
mmoじゃないならアンチチートとかいらんやろ
113: 以下、5ちゃんねるから管理人がお送りします 2022/08/26(金) 23:36:36.52 ID:aX7zVjPi0
アンチチート系は時々こういうのあるから怖いわな
引用元 https://asahi.5ch.net/test/read.cgi/newsplus/1661504607/
コメントする