소식 원신 안티 치트 파일, 랜섬웨어 배포와 백신 SW 중단 악용 가능성 제기
- 뉴스봇
- 조회 수 258
- 2022.08.26. 11:33
원신에 탑재된 안티 치트 파일이 랜섬웨어 배포와 안티 바이러스 프로그램 공격에 악용될 수 있다는 보고가 나왔다.
트랜드마이크로에 따르면 mhyprot2.sys로 알려진 자체 안티 치트 프로그램용 파일이 장치드라이버로 작용하여 컴퓨터 내에서 커널 수준 권한을 갖고 있다며, 다양한 보호 장치를 우회하기 위해 남용되어 궁극적으로 엔드포인트 보호 프로세스를 종료할 수 있다고 경고했다.
커널 수준 권한을 갖고 있는 만큼 드라이버의 우회 기능에 쉽게 접근할 수 있으며, 해당 파일의 악성 버전은 가짜 AVG 바이러스 백신을 실행하여 랜섬웨어로 덤프하는 kill.svc 파일과 함께 제공, 다양한 안티바이러스 프로그램을 차단한다. 랜섬웨어로 암호화하는 것 뿐 아니라 PsExec 프로세스로 다른 컴퓨터에 배포될 수 있어, 자체 도메인이 있는 네트워크에 침투할 경우 전체 네트워크 PC를 감염 시킬 수 있다.
·🏆정보의 신⚡
댓글
0