Trend Micro, ein japanisches Software-Unternehmen und Weltmarktführer in Sachen Serversicherheit, machte kürzlich eine interessante Entdeckung. Auf einem Rechner, der mit Ransomware angegriffen wurde, fanden sie den Treiber mhyprot2.sys. Dieser gehört zum Anti-Cheat-System des Spieles Genshin Impact, das auf dem betroffenen Rechner allerdings gar nicht installiert war. Es stellte sich heraus, dass der Treiber eine Schwachstelle hatte und konnte dadurch, dass er signiert war, auf dem 64Bit-System ohne Murren im Kernel-Modus geladen werden. In Kombination mit einer weiteren Datei konnten die Angreifer dann die auf höchster Stufe liegenden Rechte des Treibers nutzen, um den Prozess des installierten Virenschutzes zu deaktivieren.
Für Otto-Normal-Nutzer sind solche Angriffe kaum zu verhindern. Da hier eine ansich legitime Datei mißbraucht wurde - es gibt durchaus weitere Treiber, die zumindest theoretisch ähnlich funktionieren - und nicht der Schlüssel, mit dem der Treiber signiert wurde, kompromitiert wurde, bleibt in solchen Fällen der Schlüssel erhalten. Profis können zwar mittels einer vorhandenen Liste oder den Hashwerten dieser Treiber die eingesetzte Antiviren-Software speziell trainieren, Nutzer sind da eher darauf angewiesen, dass Lücken in den entsprechenden Treibern gefunden und entfernt werden.
Zusatzinfo: Wenn ihr mal Genshin Impact habt oder hattet - der Treiber bleibt auch bei einer Deinstallation im System, ihr solltet ihn dann manuell entfernen.
