アンチチートドライバーの悪用

ほぼこもセキュリティニュース By Terilogy Worx

チートツールというものがあります。
これはプログラムに干渉する不正行為を行うツールのことです。
例えば難しいゲームがあったとしましてそのゲームは普通に遊ぶととても難しいのですが、チートツールを使いながらそのゲームを遊ぶとキャラクターがダメージを受ける機構がキャンセルされて無敵になったりします。
こんなツールを使って楽しいのかという話があるわけですが、ずっと前から一定の需要があります。

提供側も黙っていません。
利用側に不正行為を行おうとする人がいるのならば、提供側はその不正行為を行えないようにしようということになります。
アンチチート機構の実装です。
チート行為を行うユーザがいるゲームではチート行為を行わないユーザの不満が高まるのですが、アンチチート機構が十分に機能しているとそういったことが防げます。
ゲーム提供会社はアンチチート機構を実装し、自社サービスの健全性を向上させることができました。
めでたしめでたし。

と、これだけでは済まない話が出てきました。

あるゲームの配布物の中に、アンチチート機構を実現するドライバーが含まれています。
ファイル名はmhyprot2.sysです。
そのアンチチートドライバーは、任意のプロセス/カーネルメモリへのアクセスと、最高の特権を使用してプロセスを終了する機能を提供します。
しかも、このアンチチートドライバーはゲームのなかの他の機構と一緒に利用する必要があるなどの制約がなく、単純にドライバー単体で利用することができるものになっています。
そして、通常はドライバー型のマルウェアを作る際にはシステムに正しく読み込まれるようにするために署名をどうするかという問題がつきまとうのですが、このドライバーは有効なコード署名証明書をもつため、なんら警告されることなくWindowsに組み込まれてしまいます。

攻撃者はこれをランサムウェア攻撃の活動の円滑化に悪用しました。
攻撃者は侵入先でランサムウェア攻撃を実施しようと活動していたのですが、思ったように暗号化が開始できません。
アンチウイルス機構が攻撃行為の邪魔をし、悪事を働くことができない状態でした。
攻撃者はアンチチートドライバーを侵入先に持ち込み、そのアンチウイルス機構を停止させました。
アンチウイルス機構の守りを失った侵入先システムはランサムウェアによって暗号化が実行されました。

この誤用できるドライバーは現在も提供されています。
では悪用できないように改善されたドライバーが提供されるようになれば問題は解決できるのでしょうか。
いいえ、攻撃者は流通済みの問題のあるドライバーを悪用すればよいだけですので、改善されたドライバーの提供は直接の問題の解消とはなりません。
問題のあるドライバーのHASH情報はありますのでHASHで検査するようにすればよいといえるのですが、ではどうやってHASH検査機構を展開しましょうか。
全く困ったものです。

参考記事(外部リンク):Ransomware Actor Abuses Genshin Impact Anti-Cheat Driver to
Kill Antivirus

www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html