Email or username:

Password:

Forgot your password?
All posts Tech's posts Post Back to profile
Tech Thread

Вирус-вымогатель использовал античит из Genshin Impact для обхода защиты антивируса
trendmicro.com/en_us/research/
Windows и безопасность снова оказались несовместимы.
@tech #ru #windows #malware by @OfShad0ws

26 Aug 2022 at 4:25 | Open on mastodon.ml
14 comments
1lyaP

@tech @OfShad0ws В статье написано, что виноват mhyprot2.sys. Юзер сам добавляет левый дырявый драйвер в систему и разрешает ему работать с привилегиями админской учётки. Но виноват, разумеется, Windows, как всегда.

Тупые журнашлюхи.

26 Aug 2022 at 4:35 | Open on mastodon.ml
OfShad0ws

@1lyaP
почему "левый дырявый драйвер" подписан майкрософтом?
как пользователь должен понять, что драйвер левый и дырявый?

26 Aug 2022 at 5:04 | Open on mastodon.social
1lyaP

@OfShad0ws Где он подписан майкрософтом? Это файл от miHoYo Co.,Ltd.

26 Aug 2022 at 5:16 | Open on mastodon.ml
OfShad0ws

@1lyaP
то есть там кто угодно подписывает? я могу подписать файл "ИП Вася" и никто это проверять не будет?

26 Aug 2022 at 6:21 | Open on mastodon.social
Александр
@OfShad0ws @1lyaP Не в курсе самой процедуры, но почему это важно?

Подпись сама по себе привилегий никаких не даёт, она лишь подтверждает, что файл такой же, каким его выпустил "ИП Вася".

Т.е. если ты написал утилиту для работы с диском, то подпись защитит файлы от изменения, злоумышленник не сможет подменить экзешник на свой с добавками и сделать вид, что так и было.

Но если твоя утилита сама имеет опасные функции, пусть даже легитимные (диск отформатировать по вызову, скажем), злоумышленник может просто включить её в состав своей малвари как есть. Как и какой-нибудь robocopy, например. От этого ни подпись, ни сертифицирующий центр защитить даже теоретически не могут.
@OfShad0ws @1lyaP Не в курсе самой процедуры, но почему это важно?

Подпись сама по себе привилегий никаких не даёт, она лишь подтверждает, что файл такой же, каким его выпустил "ИП Вася".
26 Aug 2022 at 6:32 | Open on friends.deko.cloud
1lyaP

@OfShad0ws Не, зачем кто угодно. Обычно файл подписывает его издатель. Т.е. здесь это разработчик Genshin Impact.
26 Aug 2022 at 6:32 | Open on mastodon.ml
Александр
@OfShad0ws @1lyaP Мне тоже не очень понятны претензии к MS в данном случае. Файл они подписали для другого продукта, сам факт подписи лишь говорит о том, что файл не модифицирован, но понятно, что любой файл любого продукта можно скопировать отдельно.

Сама уязвимость требует прав администратора, т.е. по сути это и не уязвимость, а лишь более удобный способ обойти срабатывание антивирусов, которые подписанные файлы обычно игнорируют.

Тут вопросы, скорее, к антивирусам, к Геншину и к самой практике запуска игр от администратора :)
@OfShad0ws @1lyaP Мне тоже не очень понятны претензии к MS в данном случае. Файл они подписали для другого продукта, сам факт подписи лишь говорит о том, что файл не модифицирован, но понятно, что любой файл любого продукта можно скопировать отдельно.
26 Aug 2022 at 6:21 | Open on friends.deko.cloud
1lyaP

@shuro @OfShad0ws Тут соглашусь. Современные игры и разрабы в край охамели. Хочешь расслабиться - дай админский доступ ко всему на своей машине. То ли дело Фолаут2)

26 Aug 2022 at 6:27 | Open on mastodon.ml
Vftdan

@1lyaP
Нужна недетектируемая контейнеризация/виртуализация пространства ядра, чтобы всякие античиты, DRM и прочие вредоносы (код вредоносен тогда и только тогда, когда он вредоносен или как минимум бесполезен для пользователя) там запирать
@shuro @OfShad0ws

26 Aug 2022 at 12:18 | Open on mastodon.ml
:umu: :umu:
@vftdan @1lyaP @shuro @OfShad0ws античиты уже проиграли, когда стали лезть в ядро ОС.
26 Aug 2022 at 12:20 | Open on expired.mentality.rip
Vftdan

@a1ba
Если античит нужен хосту сервера — пусть он и работает на его сервере. Если и ему не нужен, а только разработчикам, то пусть эти разработчики идут на фиг
@shuro @1lyaP @OfShad0ws

26 Aug 2022 at 12:40 | Open on mastodon.ml
Crystal (melting)
@vftdan Тут фендаментальная проблема в том, что с сервера невозможно узнать, что клиент не мухлюет, к примеру не делает себе прозрачные текстуры стен или отображает всех противников на карте. Поэтому и приходится всякое дерьмо на клиента лить. Не знаю правда, можно ли это вообще как то без админских прав у античита делать...

@a1ba @shuro @1lyaP @OfShad0ws
26 Aug 2022 at 12:48 | Open on tsunde.ru
Moana Rijndael 🍍🍕

@crystal прозрачные стены не помогут, если сервер шлёт только сущности в поле зрения :blobfoxthinksmart:

@a1ba @OfShad0ws @shuro @1lyaP @vftdan

26 Aug 2022 at 12:52 | Open on mastodon.ml
Vftdan

@crystal
Если умеешь в реальном времени эмулировать x86 и вытаскивать данные из эмулироемой памяти, то и админские права не помогут
@a1ba @OfShad0ws @shuro @1lyaP

26 Aug 2022 at 13:01 | Open on mastodon.ml
Go Up