原神のアンチチートドライバがランサムウェアに悪用されてた件

https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html

トレンドマイクロが公表した、原神のアンチチートドライバがランサムウェア攻撃のために悪用された件についてまとめた記事です。

簡単なまとめ

• 2022年7月の最終週に、エンドポイント保護が適切にされているユーザー環境において、ランサムウェアの感染が発生した。
• 解析したところ、原神のアンチチート機能を提供する「mhyprot2.sys」というデバイスドライバが悪用されていることがわかった。
• 「mhyprot2.sys」は正規のドライバのため、コード署名がされている。
• 「mhyprot2.sys」を使って、エンドポイント保護プロセスが強制終了されていた。
• 原神をインストールしているか否かは関係ない。

mhyprot2.sys

アンチチートプログラムである「mhyport2.sys」については、2020年9月に一悶着ありました。
https://genshin.hoyoverse.com/ja/news/detail/5815

一部ユーザーがPC版『原神』を起動中に、バックグラウンドでアンチチートプログラム（ファイル名：mhyprot2）機能が自動的に起動され、ゲームを終了、およびアンインストールしてもアンチチートプログラム機能が持続的に運行するというご報告を受けておりました。

2020年9月29日には、この問題が修正されたようです。

また、ゲームチートフォーラムであるunnowncheats.meにて、mhyprot2 を使って任意のプロセス/カーネルメモリを読み込む方法が話題に上がっていました。

https://www.unknowncheats.me/forum/anti-cheat-bypass/419457-mhyprot2-read-process-kernel-memory-valid-signature-driver-2.html

この問題については、GitHubにPoCがあります。
https://github.com/kagurazakasanae/Mhyprot2DrvControl

https://github.com/kkent030315/evil-mhyprot-cli

攻撃の形跡

1. ドメインコントローラにsecretsdumpとwmiexecの痕跡
   どちらもImpacketというPythonのツール群に含まれているソフトウェア。
   https://github.com/SecureAuthCorp/impacket

secretsdump : OS認証情報のダンプ（OS Credential Dumping）に使用される
wmiexec : Windows Management Instrumentationを悪用し、コマンドなどを実行する

2. 別の侵害された管理者アカウントを使用してRDP経由でドメインコントローラーへの接続
   RDPでrdpclip.exeというプロセスが実行される。

rdpclip.exe : RDPセッション間でのクリップボード共有を容易にする。(rdpclip.exeとは)

3. デスクトップに、kill_svc.exeとmhyprot2.sysを転送。
4. kill_svc.exeを使用して、mhyprot2.sysをインストールし、アンチウイルスサービスを停止させる。
5. netlogon共有フォルダに、avg.msiを転送。

avg.msi : AVG Intenet Securityを装った悪意のあるavg.exeというファイルが含まれており、いくつかのファイルをドロップして実行するために使用される。

6. avg.msiをGroup Policy Object（GPO）を介して１つのワークステーションエンドポイントに配備。

Group Policy : Active Directory環境内の複数のコンピュータやユーザを管理する機能
GPO : Group Policyの設定
GPOの悪用についてはこちら、https://attack.mitre.org/techniques/T1484/001/

7. 6.はGPOを利用して脅威者がランサムウェアを大量展開することを意図していたことを示すが、結局は成功しなかった。
8. 手動でのavg.msiをインストールが３回試みられたが、いずれも失敗。ただし、アンチウイルスサービスの停止には成功。
9. avg.exeをデスクトップに転送し３回実行したが、アンチウイルスが停止しているにも関わらす失敗。
10. 脅威者は、avg.exeがドロップする予定だったlogon.batをデスクトップに転送し手動で実行
    1. HelpPane.exeを起動（HelpPane.exe:Microsoft Help and Supportを装った悪意のあるファイル。kill_svc.exeと同様のことを行う）
    2. アンチウイルスや他のサービスを停止
    3. Windowsを回復させるための機能を無効化、Windowsイベントログのクリア、mhyprot2の停止と削除、ランサムウェアsvchost.exeの起動
11. logon.batの実行には成功し、svchost.exeが身代金請求書を投下、ファイル暗号化を開始。
12. 成功を知った脅威者は、lolという名前の共有フォルダにmhyprot2.sysとkill_svc.exeとsvchost.exeをホスト
13. PsExecを介して上記のファイルをコピーして実行するバッチファイル"b.bat"が、ip.txtにリストアップされているターゲットとなるワークステーションに配備される

PsExec : telnetのようなもの。リモートでコマンドを実行できる。
https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

mhyprot2.sys

kill_svc.exeとHelpPane.exeは、mhyprot2.sysを利用してアンチウイルスやそのほかサービスを停止している

1. kill_svc.exe/HelpPane.exeがNtOpenFile関数を使ってmhyprot2.sysを読み込む
2. kill_svc.exe/HelpPane.exeは、終了させるプロセスのリストをチェックする
3. DeviceloControl関数を用いて、終了させるプロセスの情報をドライバに渡す
4. 制御コード0x81034000をドライバに送信。リスト内のプロセスを終了させるように指示する。

対応策

監視と検出

• Windowsのイベントログを確認する。
• 有効な署名を持つ特権回避に悪用可能と考えられるドライバは限られているため、ハッシュ値の存在を監視する。

現在特権回避が確認されているドライバ

mhyprot2.sys (0466e90bf0e83b776ca8716e01d35a8a2e5f96d3)

その他の参考文献

GPO（グループポリシーオブジェクト）とは
https://e-words.jp/w/GPO.html

Active Directoryのハッキング検証、DCSync
https://firststepcyber.com/2021-03-22-212428/

MITRE ATT&CK その3 ～攻撃手法と緩和策（OS認証情報のダンプの場合）～
https://www.intellilink.co.jp/column/security/2020/070800.aspx

OS Credential Dumping
https://attack.mitre.org/techniques/T1003/

DCSync
https://attack.mitre.org/techniques/T1003/006/

Impacket
https://attack.mitre.org/software/S0357/