Armar el código del juego para atacar a una empresa

Un caso poco usual de un ataque ejecutado al armar el código legítimo de un videojuego.

Lanzado para PC y consolas en septiembre de 2020, Genshin Impact, el videojuego de acción y aventuras, fue creado por la empresa china miHoyo Limited. La versión para Windows viene con un módulo aprueba de trampas, que incorpora un controlador llamado mhyprot2.sys. Este proporciona al mecanismo de defensa del juego amplios privilegios del sistema y contienen una firma digital para probar sus derechos. El juego necesita de esto para detectar y bloquear herramientas que ayuden a eludir las restricciones integradas. De forma inesperadas, los hackers encontraron otro uso para este controlador.

En agosto de 2022, Trend Micro publicó un informe sobre un ataque poco usual a la infraestructura de la empresa. Dicho ataque utilizo este particular controlador mhyprot2.sys. En pocas palabras, un grupo de hackers descubrió que podía usar los privilegios del sistema virtualmente ilimitados que el controlador ofrece, así como el certificado digital legítimo asociado, como herramientas para un ataque dirigido. Y ni siquiera es necesario instalar el juego para ser víctima.

El trabajo en torno a la protección

El informe detalla un ataque a una víctima no identificada, mientras omite el método inicial que los hackers usaron para penetrar la infraestructura corporativa dada. Todo lo que sabemos es que utilizaron una cuenta de administrado comprometida para acceder al controlador de dominio mediante RDP. Además de robar los datos del controlador, los hackers colocaron una carpeta compartida con un instalador malicioso disfrazado de antivirus. Los atacantes utilizaron políticas de grupo para instalar el archivo en una de las estaciones de trabajo, y es probable que esto fuera un ensayo para una infección masiva de computadoras en la organización.

Sin embargo, este intento de instalar el malware en la estación de trabajo fracasó: el módulo que se suponía que debía cifrar los datos (que claramente se esperaba fuera seguido por una petición de rescate) no se ejecutó y los atacantes tuvieron que iniciarlo más tarde de forma manual. No obstante, lograron instalar el controlador mhyprot2.sys de Genshin Impact de forma completamente legal. Otro uso que implementaron en el sistema se encargó de recopilar información sobre procesos que podrían interferir con la instalación del código malicioso.

Lista de procesos forzados por el controlador del juego Fuente

Todos los procesos de la lista, incluyendo las soluciones de seguridad activas en la computadora, fueron detenidos por el controlador mhyprot2.sys uno por uno. Una vez que el sistema fue despojado de sus defensas, la verdadera herramienta de malware se puso en marcha, cifrando archivos y dejando una nota de rescate.

No es el típico hackeo

Este caso resulta interesante ya que muestra la explotación de lo que es un software esencialmente legítimo distribuido como parte de un juego de computadora bastante popular. Trend Micro descubrió que el controlador mhyprot2.sys usado en el ataque se firmó en agosto de 2020, poco antes del lanzamiento inicial del juego. Los ciberdelincuentes suelen usar certificados privados que roban para firmar programas maliciosos o explotar vulnerabilidades en softwares legítimos. Sin embargo, en este caso, los hackers utilizaron las funciones habituales del controlador, o sea, el acceso completo a la RAM y la capacidad de detener cualquier proceso en el sistema. Dichos programas legítimos representan un riesgo adicional para el administrador de la infraestructura corporativa, ya que las herramientas de monitoreo pueden ignorarlos fácilmente.

Los usuarios de Genshin Impact tardaron un poco en notar el comportamiento poco usual de mhyprot2.sys. Por ejemplo, el módulo permaneció en el sistema incluso después de que el juego era desinstalado, lo que significa que todos los usuarios de PC del juego, tanto actuales como anteriores, son vulnerables y sus computadoras son más fáciles de atacar. Curiosamente, las discusiones en los tableros de mensajes sobre engaños de cómo se podría explotar el controlador para combatir los sistemas anti-trampas, también aprovechando las amplias capacidades del módulo y la firma digital, provienen desde octubre de 2020.

Esto debería servir como recordatorio para que los desarrolladores de software con privilegios elevados usen sus derechos del sistema con precaución; de lo contrario, su código podría usarse para ataques cibernéticos en lugar de protección anti-hacker. Los desarrolladores de Genshin Impact fueron informados sobre los posibles problemas asociados con el controlador durante el verano pasado, pero no consideraron que el comportamiento peligroso del módulo fuera un problema. Por un lado, la firma digital todavía estaba vigente a finales de agosto de 2022.

Recommendaciones para empresas.

Puedes reducir el riesgo de un ataque exitoso utilizando el escenario anterior al incluir el controlador potencialmente peligroso en su lista de monitoreo y utilizando medidas de seguridad con amplias capacidades de autodefensa. No olvides que los hackers obtuvieron acceso al controlador de dominio inicialmente. Así que esa situación ya era peligrosa: podían usar trucos menos ingeniosos para seguir propagando malware a través de la red corporativa.

Usualmente, la detección de juegos instalados en las computadoras de los empleados solo se considera importante desde una perspectiva de productividad. El incidente anti-trampas de Genshin Impact es un recordatorio de que los programas “innecesarios” pueden no solo ser una distracción, sino también un riesgo adicional a la seguridad. Se suman al software potencialmente vulnerable y, en algunos casos, introducen código abiertamente peligroso dentro del perímetro de seguridad.

Consejos