{"id":29295,"date":"2022-09-23T11:17:47","date_gmt":"2022-09-23T09:17:47","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29295"},"modified":"2022-09-23T11:18:17","modified_gmt":"2022-09-23T09:18:17","slug":"genshin-driver-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/","title":{"rendered":"Angriff auf Unternehmen: Wenn Spielcode zur Waffe wird"},"content":{"rendered":"

Das im September 2020 ver\u00f6ffentlichte PC\/Konsolen-Fantasy-Action-Spiel Genshin Impact<\/a> wurde von der chinesischen Firma miHoYo Limited entwickelt. Die Windows-Version wird mit einem Anti-Cheat-Modul f\u00fcr das Spiel ausgeliefert, das einen Treiber namens mhyprot2.sys enth\u00e4lt. Dieser gew\u00e4hrt dem Spielschutzmechanismus weitreichende Systemprivilegien und verf\u00fcgt \u00fcber eine digitale Signatur zur Best\u00e4tigung seiner Rechte. Diese Signatur wird ben\u00f6tigt, um Tools zu erkennen und zu blockieren, die die im Spiel eingebauten Beschr\u00e4nkungen umgehen. \u00dcberraschenderweise haben Hacker jedoch eine andere Verwendung f\u00fcr diesen Treiber gefunden.<\/p>\n

Im August 2022 ver\u00f6ffentlichte Trend Micro einen Bericht<\/a> \u00fcber einen ungew\u00f6hnlichen Angriff auf die Unternehmensinfrastruktur. Der Angriff erfolgte \u00fcber diesen speziellen Treiber, mhyprot2.sys. Mit anderen Worten: Eine Gruppe von Hackern entdeckte, dass sie die praktisch unbegrenzten Systemprivilegien, die der Treiber und das zugeh\u00f6rige legitime digitale Zertifikat bieten, f\u00fcr gezielte Angriffe nutzen k\u00f6nnen. Au\u00dferdem ist es m\u00f6glich, ein Opfer zu werden, ohne das Spiel selbst zu installieren.<\/p>\n

Schutz umgehen<\/h2>\n

Der Bericht beschreibt den Angriff auf ein ungenanntes Opfer, erw\u00e4hnt aber nicht die urspr\u00fcngliche Methode, mit der die Hacker die Unternehmensinfrastruktur infiltrierten. Wir wissen nur, dass sie ein kompromittiertes Administratorkonto verwendet haben, um \u00fcber RDP auf den Domaincontroller zuzugreifen. Die Hacker stahlen nicht nur Daten von eben diesem, sondern legten dort auch einen Netzwerkordner ab, der ein sch\u00e4dliches Installationsprogramm enthielt, das sich als Antivirenprogramm ausgab. Die Angreifer nutzten die Gruppenrichtlinien, um Dateien auf einer der Workstations zu installieren, die als Vorlage f\u00fcr eine Masseninfektion von Computern in der Organisation dienen k\u00f6nnten.<\/p>\n

Die Versuche, Malware auf der Workstation zu installieren, waren jedoch erfolglos. Das Modul, das die Daten verschl\u00fcsseln sollte, wurde nicht ausgef\u00fchrt und die Angreifer mussten dieses sp\u00e4ter manuell aktivieren. Es gelang ihnen jedoch, den v\u00f6llig legalen Treiber mhyprot2.sys von Genshin Impact zu installieren. Ein anderes Dienstprogramm, das sie im System einsetzten, sammelte Daten \u00fcber Prozesse, die die Installation des Schadcodes behindern k\u00f6nnten.<\/p>\n

\"\"

Liste der vom Spieltreiber zwangsgestoppten Prozesse<\/p><\/div>\n

\u00a0<\/p>\n

Alle Prozesse auf der Liste, einschlie\u00dflich der auf dem Computer aktiven Sicherheitsl\u00f6sungen, wurden nacheinander vom mhyprot2.sys-Treiber gestoppt. Sobald das System seiner Schutzmechanismen beraubt war, wurde das eigentliche Malware-Tool gestartet, das Dateien verschl\u00fcsselte und eine L\u00f6segeldforderung hinterlie\u00df.<\/p>\n

<\/h2>\n

Kein typischer Hack<\/h2>\n

Dieser Vorfall ist deshalb interessant, weil es sich im Wesentlichen um den Exploit legaler Software handelte, die als Teil eines recht beliebten Computerspiels verbreitet wurde. Trend Micro entdeckte, dass der bei dem Angriff verwendete Treiber mhyprot2.sys im August 2020 signiert wurde, kurz vor der urspr\u00fcnglichen Ver\u00f6ffentlichung des Spiels. Cyberkriminelle verwenden in der Regel gestohlene private Zertifikate, um Schadprogramme zu signieren oder Schwachstellen in legitimer Software auszunutzen. In diesem Fall nutzten die Hacker jedoch die \u00fcblichen Treiberfunktionen, d. h. den vollen Zugriff auf den Hauptspeicher und die M\u00f6glichkeit, alle Prozesse auf dem System anzuhalten. Solche legitime Software wird von \u00dcberwachungsprogrammen leicht \u00fcbersehen, was ein zus\u00e4tzliches Risiko f\u00fcr die Manager der Unternehmensinfrastruktur darstellt.<\/p>\n

Die Benutzer von Genshin Impact bemerkten das etwas ungew\u00f6hnliche Verhalten von mhyprot2.sys nicht sofort. So blieb das Modul beispielsweise auf dem System, nachdem das Spiel deinstalliert worden war, was bedeutet, dass alle aktuellen und fr\u00fcheren Gamer bis zu einem gewissen Grad anf\u00e4llig waren und ihre PCs leichter angegriffen werden konnten. Interessanterweise wurden ab Oktober 2020 in Cheater-Foren M\u00f6glichkeiten diskutiert<\/a>, den Treiber zu nutzen, um Anti-Cheat-Systeme zu umgehen, einschlie\u00dflich der Nutzung der umfangreichen Funktionen des Moduls und digitaler Signaturen.<\/p>\n

Dies sollte eine Erinnerung f\u00fcr alle Entwickler von Software mit erh\u00f6hten Rechten sein, ihre Systemrechte mit Vorsicht zu nutzen, da ihr Code sonst m\u00f6glicherweise f\u00fcr Cyberangriffe verwendet wird, anstatt ihn vor Hackern zu sch\u00fctzen. Die Entwickler von Genshin Impact wurden im vergangenen Sommer auf m\u00f6gliche Probleme mit dem Treiber aufmerksam gemacht, sahen das gef\u00e4hrliche Verhalten des Moduls jedoch nicht als Problem an. So war die digitale Signatur Ende August 2022 noch immer in Kraft.<\/p>\n

Empfehlungen f\u00fcr Unternehmen<\/h2>\n

Die Aufnahme potenziell gef\u00e4hrlicher Treiber in eine Beobachtungsliste und die Umsetzung von Sicherheitsma\u00dfnahmen<\/a> mit umfassenden Selbstverteidigungsfunktionen k\u00f6nnen das Risiko eines erfolgreichen Angriffs in dem oben beschriebenen Szenario verringern. Denken Sie daran, dass sich der Hacker zun\u00e4chst Zugang zum Domaincontroller verschafft hat. Die Situation war also bereits gef\u00e4hrlich. Mit weniger einfallsreichen Mitteln k\u00f6nnten Angreifer die Malware weiter im Unternehmensnetzwerk verbreiten.<\/p>\n

Die Erkennung von Spielen, die auf den PCs der Mitarbeiter installiert sind, ist in der Regel nur unter dem Gesichtspunkt der Produktivit\u00e4t wichtig. Der Fall des Anti-Cheat-Programms Genshin Impact hat uns jedoch daran erinnert, dass \u201eunerw\u00fcnschte\u201c Programme nicht nur l\u00e4stig sind, sondern auch ein zus\u00e4tzliches Sicherheitsrisiko darstellen k\u00f6nnen. Sie tragen zur Entwicklung potenziell anf\u00e4lliger Software bei und f\u00fchren in einigen F\u00e4llen gef\u00e4hrlichen Code in den sicherheitsrelevanten Umkreis ein.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Ein ungew\u00f6hnlicher Fall eines Angriffs, bei dem der Code eines Videospiels als Waffe eingesetzt wurde.<\/p>\n","protected":false},"author":665,"featured_media":29298,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3385,4003,2903,4004],"class_list":{"0":"post-29295","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-anti-cheat","11":"tag-driver","12":"tag-schwachstelle","13":"tag-treiber"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/genshin-driver-attack\/24581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/genshin-driver-attack\/20047\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/genshin-driver-attack\/27034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/genshin-driver-attack\/24938\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/genshin-driver-attack\/33982\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/genshin-driver-attack\/11023\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/genshin-driver-attack\/45494\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/genshin-driver-attack\/25454\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/genshin-driver-attack\/30988\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/genshin-driver-attack\/30683\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstelle\/","name":"Schwachstelle"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29295"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29295\/revisions"}],"predecessor-version":[{"id":29299,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29295\/revisions\/29299"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29298"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}