Şirkete saldırmak için saldırı aracına dönüştürülen oyun kodu

Eylül 2020’de PC ve konsollar için piyasaya sürülen aksiyon-macera video oyunu Genshin Impact‘ın yaratıcısı, miHoYo Limited of China. Windows sürümünde, oyun hilelerini önlemek için tasarlanmış mhyprot2.sys adlı bir sürücünün bulunduğu bir modül mevcut. Bu modül, oyunun savunma mekanizmasına geniş sistem ayrıcalıkları sağlıyor. Ayrıca, hak sahibi olduğunu gösteren dijital bir imzaya sahip. Bu modül, yerleşik kısıtlamaları aşmayı sağlayan araçların tespiti ve engellenmesi için oyun gereksinimlerinden biri. Beklenmeyen şey ise, hackerların sürücüyü kullanabilecekleri başka bir yöntem keşfetmiş olması.

Ağustos 2022’de Trend Micro, kurumsal altyapıya yönelik olağandışı bir saldırıyı konu edinen bir rapor yayınladı. Saldırıda bahsi geçen özel sürücü mhyprot2.sys kullanıldı. Kısaca, bir hacker grubu, sürücünün sağladığı sınırsız sistem ayrıcalıklarını ve ilgili yasal dijital sertifikayı hedefli bir saldırı için araç olarak kullanabileceğinin farkına vardı. Üstelik oyunu yüklemeseniz bile kurban olabilirsiniz.

Teğet geçilen koruma

Hackerların kurumsal altyapıya sızmak için kullandıkları ilk yöntemden bahsetmeyen rapor, adı bilinmeyen bir kurbana yapılan saldırıyı ayrıntıları bir şekilde ele alıyor. Bildiğimiz tek şey, domain denetleyicisine RDP üzerinden erişmek için güvenliği ihlal edilmiş bir yönetici hesabı kullandıkları. Hackerlar, sadece denetleyiciden veri çalmakla kalmayıp, antivirüs gibi gizledikleri kötü amaçlı bir yükleyici ile birlikte paylaşılan bir klasör de yerleştirdiler. Saldırganlar, dosyayı iş istasyonlarından birine yüklemek için grup ilkelerinden faydalandılar. Bu da muhtemelen, işletmedeki tüm bilgisayarlara yapılacak olan toplu bulaşmanın bir provasıydı.

Ancak kötü amaçlı yazılımı iş istasyonuna yükleme girişimi başarısızlıkla sonuçlandı. Verileri şifrelemesi gereken modül (hemen ardından fidye talebi bekleniyor) çalışmadı. Dolayısıyla, saldırganlar da modülü manuel başlatmak zorunda kaldı. Yine de, Genshin Impact‘in tamamen yasal sürücüsü mhyprot2.sys‘i kurmayı başardılar. Sisteme yerleştirdikleri başka bir yardımcı yazılım, kötü amaçlı kodun yüklenmesini engelleyebilecek işlemler hakkında veri topladı.

Oyun sürücüsünün zorla durdurduğu işlemlerin listesi Kaynak.

Bilgisayarda aktif güvenlik çözümleri de dahil, listedeki tüm işlemler mhyprot2.sys sürücüsü tarafından tek tek durduruldu. Sistem savunmasından kurtulduktan sonra, asıl kötü amaçlı yazılım aracı çalışmaya başladı, dosyaları şifreledi ve bir fidye notu bıraktı.

Sıradan bir hack değil

Popüler bir bilgisayar oyununun parçası olarak dağıtılan, temelde yasal olan bir yazılımın nasıl kötüye kullanıldığını örneklendirdiği için bu olay oldukça ilginç. Trend Micro, saldırıda kullanılan mhyprot2.sys sürücüsünün Ağustos 2020’de, yani oyunun ilk sürümünün piyasaya sürülmesinden kısa bir süre önce imzalandığını fark etti. Siber suçlular, kötü amaçlı programları imzalamak veya yasal yazılımlardaki güvenlik açıklarından faydalanmak için çalıntı özel sertifikaları kullanırlar. Ancak bu durumda, hackerlar sürücünün normal özelliklerinden, yani RAM’e tam erişim ve sistemdeki herhangi bir işlemi durdurma özelliklerinden faydalandılar. Bu tarz yasal programlar, izleme araçlarının gözünden kolayca kaçabilirler. Bu da, kurumsal altyapı yöneticisi için ayrıca bir risk anlamına gelir.

Genshin Impact kullanıcılarının mhyprot2.sys’in olağandışı davranışlarını fark etmeleri biraz zaman aldı. Modül, oyun bilgisayardan kaldırıldıktan sonra bile sistemde kalmaya devam etti. Bu da, oyunu indiren şimdiki ve önceki tüm kullanıcıların, bir şekilde savunmasız olduğu ve bilgisayarlarına saldırılmasının daha kolay olduğu anlamına geliyor. İlginç olan şu: 2020 yılının Ekim ayına kadar uzanan mesaj panolarında, modülün kapsamlı özelliklerini ve dijital imzayı da kötüye kullanarak, sürücünün anti-cheat sistemlerinin nasıl istismar edilebileceği hakkında yapılan dolandırıcı tartışmalarını görmek mümkün.

Bu durum, yükseltilmiş ayrıcalıklara sahip yazılım geliştiricilerinin sistem haklarını dikkatli kullanmaları için bir hatırlatma olmalıdır. Aksi durumda kodlar, koruma sağlamak yerine siber saldırılar için kullanılabilir. Geçtiğimiz yaz, Genshin Impact geliştiricileri, sürücüyle ilgili olası sorunlar hakkında bilgilendirildi. Ancak modülün tehlikeli davranışının bir soruna sebep olduğunu düşünmediler. Ayrıca, 2022 Ağustos’unun sonunda dijital imzanın geçerliliği hala devam ediyordu.

Şirketler için öneriler

Yukarıdaki senaryoyla, hem potansiyel olarak tehlikeli sürücüyü izleme listenize ekleyebilir hem de kapsamlı savunma özellikleri olan güvenlik önlemlerinden faydalanarak başarılı olabilecek bir saldırı riskini azaltabilirsiniz. Hackerların ilk önce domain denetleyicisine erişim sağladığını unutmayın. Yani, bu durum zaten başından beri tehlikeliydi. Kötü amaçlı yazılımların şirket ağında daha fazla yayılmasını sağlamak için daha az yaratıcı hilelere başvurabilirlerdi.

Çalışan bilgisayarlarına yüklenen oyunların tespitinin, sadece üretkenlik söz konusu olduğunda önem arz eder. Genshin Impact anti-cheat olayı, “gereksiz” programların sadece dikkat dağıtmakla kalmayıp, ekstra bir güvenlik riski oluşturabileceğini de gösteriyor. Potansiyel güvenlik açığı bulunan yazılımlara dahil oluyorlar ve diğer bazı durumlarda ise, güvenlik çeperine doğrudan tehlikeli kodları bulaştırıyorlar.