《原神》防作弊系統出現漏洞 駭客將藉其「殺死」防毒放勒索軟體大舉入侵

米哈遊網路（HoYoverse）旗下開放世界多平台動作 RPG《原神》（Genshin Impact）按照時程進行了各種更新，如最近實裝的 3.0 版本須彌添加了新角色、擴展故事線和其他功能。

然而，美國資安公司趨勢科技近日釋出的一份報告指出，這款風靡全球人氣作品的防作弊功能遭到駭客濫用，攻擊防毒軟體和服務並大規模部署勒索軟體。

說到反作弊系統，玩家可能聽過一些程式名稱，諸如 Easy Anti-Cheat 和 BattlEye，《原神》則有一個獨立的防作弊程式「mhyprot2.sys」，米哈遊一開始將其添加到遊戲中以防止玩家作弊。趨勢科技在一份 8 月 24 日釋出的報告中提到，團隊自 7 月底發現該程式出了大問題，嚴重影響資安環境。

簡而言之，《原神》的防作弊軟體是以「設備驅動程式」的身分在運作，在玩家的電腦或行動裝置內有核心等級的授權，當駭客入侵時，這個軟體會被濫用來繞過各種保護措施，最終摧毀終端保護措施。由於一般合法驅動程式經常直達系統中樞，企業應該謹慎審視系統中的此類檔案。

Wccftech 的報導進一步引用趨勢科技的報告解釋，這個防作弊軟體的「感染版本」會伴隨著一個 kill.svc 檔案，它會安裝並運作一個假的 AVG 防毒軟體，將各種檔案轉存為勒索軟體的人質。這個勒索軟體也會關閉各種通常能保護使用者的防毒軟體（從使用者提供給趨勢科技的概念驗證 PoC 可以看出，該軟體關閉了 360 全方位安全衛士）。

勒索軟體成功在電腦環境落地，也開始加密檔案並使其無法使用，還可以透過遠端執行工具 PsExec 部署到其他電腦上。這或將引發更危險的狀況：理論上如果這種勒索軟體進到一個有自己區網的辦公大樓資料中心，那整棟樓的任何電腦都暴露在危險中。

如今，這個問題已經開始困擾米哈遊團隊。mhyprot2.sys 已長期被用於傳輸 DLL 檔案（動態連結程式庫），看起來官方既不關心也不知道如何解決，畢竟早有人回報這個問題，但沒有被承認是 Bug，意思就是漏洞依然存在。

Wccftech 告誡玩家應該注意：往後《原神》玩家要非常小心下載的檔案，並時常監視 Windows 事件記錄檔，看看是否有任何軟體「被安裝」，解決方法之一或許是透過串流平台如 GeForce NOW 玩遊戲。

（8/26 今天是凝光生日）