细思极恐！眼镜镜片反射会

泄露Zoom会话信息

安全专家声称，普通的眼镜偷偷给黑客开了一道窗户，从而窥视贵公司在视频会话中的宝贵数据。

美国密歇根大学和中国浙江大学的研究人员想要向世人强调这个风险：戴眼镜的视频会议参与者如何通过眼镜镜片反射，无意中泄露敏感的屏幕上信息。

随着新冠疫情阴影久散不去、远程工作模式大行其道，视频会议已变得司空见惯。这些研究人员认为，随之而来的隐私和安全问题值得进一步关注；他们一直在留意这种不同寻常的攻击途径。

ArXiv近期发布了一篇题为《窥视之眼：论述视频会议中通过眼镜镜片反射窥视文本屏幕的局限性》的论文（https://arxiv.org/pdf/2205.03971.pdf），Yan Long、Chen Yan、Shilin Xiao、Shivan Prasad、Wenyuan Xu和Kevin Fu这几位研究人员在论文中描述了他们如何分析眼镜镜片反射的来自视频屏幕的光发射。

这群计算机科学家探究和描述了基于光攻击的切实可行的威胁模型，这种光攻击针对视频帧序列使用了多帧超分辨率技术。

受控实验室环境中的模型和实验结果表明，可以使用720p网络摄像头重现和识别高度仅10毫米的屏幕文本，准确率超过了75%。密歇根大学安阿伯分校的通讯作者兼博士生Yan Long在发给外媒的电子邮件中解释，如今720p摄像头的攻击能力常常适用于普通笔记本电脑上的50-60像素这种大小的字体。这样的字体大小主要出现在幻灯片演示文稿和一些网站的抬头/标题中。

能够读取反射的标题大小文本是一个隐私和安全问题，并不代表只能读取较小的9磅到12磅字体。随着高分辨率网络摄像头变得越来越普遍，这种技术有望读取更小尺寸的字体。未来的4k摄像头将能够读取几乎所有网站和一些文本文档上的大多数标题文本。

如果目标是从眼镜镜片反射识别视频会议参与者的屏幕上可以看见的特定网站，Alexa前100个网站中的成功率就上升到94%。

这种攻击可能会有多种用途，有的只是日常活动中引起不适，比如老板监控下属在视频工作会议中浏览什么内容，镜片反射还可能泄露商业谈判的重要信息。

诸多因素会影响视频会议参与者戴的眼镜中镜片反射的文本具有的易读性。这包括受会议参与者肤色、环境光强度、屏幕亮度、文本与网页或应用程序背景的对比度以及眼镜镜片特性等影响的反射率。因此，并非每个戴眼镜的人都一定会向对方泄露镜片反射的屏幕信息。

至于潜在的应对措施，研究人员表示，Zoom已经在其背景和效果设置菜单中提供了一个视频滤波，包括可以阻止反射的不透明卡通眼镜。Skype和Google Meet都没有这种防御功能。

研究人员认为，其他更实用的基于软件的防御措施包括针对性地模糊眼镜镜片。

虽然眼下没有任何一个平台支持，但研究人员已实现了一个实时眼镜模糊原型，可以将修改后的视频流注入到视频会议软件。原型程序可定位眼镜区域，并使用高斯滤波来模糊该区域。

Python代码放在了GitHub上：

https://github.com/VidConfSec/EyeglassBlurFilter

攻击者滥用《原神》反作弊驱动

程序来阻止杀毒软件；

趋势科技研究人员调查了《原神》的易受攻击的反作弊驱动程序 mhyprot2.sys。原神反作弊服务mhyprot2.sys，在游戏关闭后甚至卸载后，都不会退出，并且由于反作弊服务的特殊性，这个服务存在的价值就是不断地扫描你的操作等，所以被用户认为是间谍软件。该驱动程序目前正被一个勒索软件攻击者滥用，以阻止大规模部署勒索软件的反病毒进程和服务。已经有关于 Netfilter，FiveSys 和 Fire Chili 等代码签名 rootkit 的报告。这些 rootkit 通常使用被盗证书签名或被错误验证。然而，当一个合法的驱动程序被用作rootkit时，情况就不同了。mhyprot2.sys 就是这种情况，它是《原神》的易受攻击的反作弊驱动程序。该驱动程序目前被勒索软件攻击者滥用，以阻止杀毒进程和服务以大规模部署勒索软件。研究人员已经注意到mhyprot2.sys可以集成到任何恶意软件中。

在 2022 年 7 月的最后一周，在一个正确配置了终端保护的用户环境中触发了勒索软件感染。通过分析，研究人员发现一个名为“mhyprot2.sys”的代码签名驱动程序被滥用以绕过权限，该驱动程序为《原神》提供反作弊功能作为设备驱动程序。结果，来自内核模式的命令阻止了终端保护进程。

在撰写本文时，mhyprot2.sys 的代码签名仍然有效。《原神》不需要安装在受害者的设备上即可工作，该驱动程序的使用与游戏无关。

该勒索软件只是趋势科技研究人员注意到的第一个恶意活动实例。攻击者旨在在受害者的设备中部署勒索软件，然后传播感染。由于 mhyprot2.sys 可以集成到任何恶意软件中，趋势科技研究人员正在继续调查以确定驱动程序的范围。

组织和安全团队应该小心以下几个因素：容易获得 mhyprot2.sys 模块，驱动程序在绕过权限方面的多功能性，以及精心制作的概念证明 (PoC) 的存在。所有这些因素都意味着这个驱动程序的使用可能比以前发现的rootkit更高。

同时，趋势科技研究人员在本文介绍的攻击者活动的时间线和攻击顺序对于安全团队来说是值得注意的。此操作中使用的技术列表可在本文末尾的 MITRE ATT&CK 分析中找到。

活动时间表

攻击概览

最早的攻击证据是从目标组织的一个未识别终端到域控制器之一的机密文件。随后是在内置域管理员帐户的上下文中使用 wmiexec 执行发现命令。Secretsdump——从远程计算机转储机密信息而不执行任何代理和wmiexec——通过Windows Management Instrumentation (WMI)远程执行命令，它们都是来自Impacket的工具，Impacket是一个用于处理网络协议的免费Python类集合。

攻击的早期证据

不久之后，攻击者通过 RDP 使用另一个受感染的管理员帐户连接到域控制器。此时，所有内容都在该用户帐户的上下文中执行。

通过 RDP 连接到域控制器的攻击者

注意：在受感染管理员帐户的上下文中运行的进程 rdpclip.exe 是唯一支持对域控制器使用 RDP 的目标系统工件。它有助于 RDP 会话之间的剪贴板共享。

恶意文件 kill_svc.exe (C:users{compromised user}kill_svc.exe) 和 mhyprot2.sys (C:users{compromised user}mhyprot2.sys) 被移动到桌面。这是第一次看到易受攻击的驱动程序。文件 kill_svc.exe 安装了 mhyprot2 服务并阻止了杀毒服务。

可疑的kill_svc.exe文件被执行

安装的易受攻击设备

另一个恶意文件 avg.msi 被移动到 netlogon share \{domaincontroller}NETLOGONavg.msi。此 Windows 安装程序包含 avg.exe，这是一个伪装成 AVG Internet Security 的恶意文件，并负责删除和执行以下内容：

logon.bat——一个批处理文件，它执行HelpPane.exe，以阻止杀毒和其他服务，并执行 svchost.exe。

HelpPane.exe——伪装成微软帮助和支持可执行文件的恶意文件，于 kill_svc.exe类似，它会安装 mhyprot2.sys 并阻止杀毒服务。

mhyprot2.sys——易受攻击的《原神》反作弊驱动程序。

svchost.exe——勒索软件有效负载。

这也表明攻击者打算通过启动/登录脚本使用域控制器大规模部署勒索软件。

托管在 netlogon 共享上的 Windows 安装程序 avg.msi 通过组策略对象 (GPO) 部署到一个工作站终端。趋势科技研究人员怀疑这是为了测试通过 GPO 部署是否会成功，但是这个示例导致了失败。

通过 GPO 部署的 Windows 安装程序 avg.msi

之后，攻击者从身份不明的终端登录到工作站。同时观察到登录类型3 (Network Logon)和登录类型10 (RemoteInteractive)。Windows安装程序avg.msi被手动安装了三次，这也导致了一个失败，这没有加密。但是，它成功地阻止了杀毒服务。

avg.msi 手动安装失败

注意：avg.msi 的安装可能已失败，但该产品也不再工作。

从 avg.msi 中提取的文件 avg.exe 也被移动到桌面并执行了 3 次。但是，在趋势科技研究人员的分析中，他们发现即使杀毒软件不再工作，这一步也不起作用。显然，使用 .msi 或 .exe 文件会导致应用程序卡住。

恶意文件 avg.exe 移动到桌面并执行了 3 次

为了让事情顺利进行，攻击者将 logon.bat 转移到桌面并手动执行。文件 logon.bat 被认为是由 avg.exe 删除和执行的，它是作为一个独立的文件存在的。

logon.bat 的第1部分，用于启动 HelpPane.exe

logon.bat 的第2部分，用于阻止杀毒软件和其他服务

logon.bat 的第 3 部分，用于禁用引导加载程序加载 Windows 恢复环境，禁用 Windows 恢复环境，清除 Windows 事件日志、阻止 mhyprot2 服务并将其删除，最后启动勒索软件 svchost。可执行程序

令人惊讶的是，执行 logon.bat 有效，并且勒索软件 svchost.exe 开始释放勒索记录并加密文件。知道这一点后，攻击者在名为“lol”的共享文件夹上托管了大规模部署所需的三个文件：mhyprot2.sys、kill_svc.exe（用于阻止杀毒服务）和 svchost.exe（勒索软件）。

包含大规模部署所需组件文件的共享文件夹

一个名为“b.bat”（C:Users{compromised user}Desktopb.bat）的批处理文件，负责复制和执行上述文件，使用内置域的凭据通过 PsExec 部署管理员帐户。它在文件 ip.txt 中列出了目标工作站。

b.bat 的部分内容（已被攻击者多次修改）

将 b.bat 部署到其他工作站的攻击者

仔细查看 mhyprot2.sys

驱动程序 mhyprot2.sys 由 kill_svc.exe/HelpPane.exe 使用 NtOpenFile 函数加载。

kill_svc.exe/HelpPane.exe 加载的驱动程序 mhyprot2.sys

加载 mhyprot2.sys 后，kill_svc.exe/HelpPane.exe 检查要终止的进程列表。

kill_svc.exe/HelpPane.exe 检查的要终止的进程列表

之后，它使用 DeviceIoControl 函数将此信息传递给驱动程序。

DeviceIoControl 函数

控制代码 0x81034000 被发送到驱动程序，指示它终止列表中的进程。

mhyprot2.sys 示例函数

0x81034000 内的 ZwTerminateProcess，它终止一个进程及其所有线程

在这个序列中发现的 mhyprot2.sys 驱动程序是 2020 年 8 月构建的。回到社交媒体流，研究人员可以看到在 2020 年 9 月《原神》发布后不久，该模块在游戏社区中被讨论，因为它即使在游戏被卸载后也没有被删除，因为它允许绕过权限。

用户 kagurazakasanae 提供的 PoC 显示，一个库终止了 360 Total Security。Kento Oki 提供的更全面的 PoC 具有以下功能：

从用户模式读取/写入任何具有内核权限的内核内存。

从用户模式读取/写入任何具有内核权限的用户内存。

按特定进程 id 枚举多个模块。

获得系统正常运行时间。

枚举特定进程中的线程，允许直接从命令行界面 (CLI) 读取内核中的 PETHREAD 结构。

使用 ZwTerminateProcess 通过进程 id 终止特定进程，该进程在易受攻击的驱动程序上下文 (ring-0) 中调用。

Kento Oki 也将该问题作为漏洞报告给了《原神》的开发者 miHoYo。Kento Oki 的 PoC 引发了更多讨论，但提供商并未承认该问题是一个漏洞，也没有提供修复程序。当然，代码签名证书仍然有效，直到现在还没有被撤销，作为设备驱动程序的代码签名的数字签名此时仍然有效。

作为设备驱动程序的代码签名的复杂性

将代码签名作为设备驱动程序而被滥用的模块仍然很少。这种情况的关键在于，具有有效代码签名的合法设备驱动程序模块能够绕过从用户模式到内核模式的权限。即使供应商承认权限绕过是一个漏洞，并提供了一个修复程序，该模块在分发之后也不能被释放。这个文件有一个驱动程序的代码签名，它允许这个模块以内核模式加载。如果该签名是通过私钥盗窃为恶意模块签名的，可以通过吊销证书使签名失效。然而，在本示例中，这是对合法模块的滥用。似乎没有泄露私钥，所以目前还不知道证书是否会被吊销。它仍然有效，至少目前如此。

如上所述，这个模块很容易获得，并且在它被删除之前将可供所有人使用。它可以作为绕过权限的有用实用程序保留很长时间。证书吊销和杀毒检测可能有助于阻止滥用，但目前没有解决方案，因为它是一个合法的模块。