YKelyan Posted April 23, 2020 Report Posted April 23, 2020 https://www.invenglobal.com/articles/11003/riot-games-is-offering-up-to-100000-to-whomever-can-prove-security-flaws-in-vanguard-valorants-anti-cheat-system https://www.oneesports.gg/fps/valorant/riot-is-offering-us100000-if-you-can-exploit-valorants-anti-cheat-system/ Quote
Nytro Posted April 30, 2020 Report Posted April 30, 2020 Are cineva acces la Valorant? Ma gandeam ca ne poate oferi si noua acel driver. Quote
promoseo Posted April 30, 2020 Report Posted April 30, 2020 Eu am acces, cred ca am deja peste 100 de meciuri jucate. Quote
Nytro Posted April 30, 2020 Report Posted April 30, 2020 Hmm, nu stiu cum sa facem. Te poti uita prin folder-ul unde e instalat joc-ul sa vezi daca ai vreun fisier cu extensia .sys? Sau te poti uit ain system32 dupa fisiere de genul "anticheat.sys"? Nu am idee unde si cum ar fi implementat. Bine, nici nu m-am interesat prea mult, dar nu am vazut prea multe referitor la subiect. Iar daca gasesti ceva, sa ni-l dai si noua. Quote
promoseo Posted April 30, 2020 Report Posted April 30, 2020 Dar jocul iti instaleaza un program in calculator care te forteaza sa restartezi sistemul inainte, dupa te poti juca, si sta continuu pornit jos langa ceas, gen fara programul ala pornit nu te poti juca. https://imgur.com/OAAViFw Se numeste "Riot Vanguard", am patit sa fiu deconectat in timpul meciului si sa ma puna sa fac update la anti cheatul asta ca sa pot continua meciul. Quote
Nytro Posted April 30, 2020 Report Posted April 30, 2020 Il poti uploada undeva sa ni-l dai si noua? Faci o archiva cu folderul in care e instalat programul. Mi se pare util si sper sa isi faca treaba. Din cand in cand mai deschid si eu CS:GO si mai sunt wall-isti. Nu ii suport. 1 Quote
Massaro Posted April 30, 2020 Report Posted April 30, 2020 Daca nu-l incarca cineva pana maine, o s-o fac eu, dar doar maine pot (asta daca gasesc folderul unde e). Au fost cativa codati din cate am vazut pe youtube si la niste streameri. Din cate am citit, Vanguard se bazeaza pe machine learning, ceva gen noul AC de la Valve (VACnet). Quote
promoseo Posted April 30, 2020 Report Posted April 30, 2020 L-as pune eu, doar ca are loguri pe fiecare zi si alte chestii, cine stie ce informatii a mai furat de prin calculator si le fac public fara sa vreau. Massaro daca chiar vrei sa-l pui, il gasesti in Program files/riot vanguard. Program files normal, nu cel x86. Quote
Active Members SynTAX Posted April 30, 2020 Active Members Report Posted April 30, 2020 Din cate stiu eu, sper sa nu gresesc, dar au si ceva prin care iti "baneaza" si ceva hardware la PC. Probabil un MAC de pe placa de retea sau un serial pe la placa video, chestii de genul. Pentru a descuraja cheatingul. Quote
ardu2222 Posted April 30, 2020 Report Posted April 30, 2020 1 hour ago, Nytro said: Il poti uploada undeva sa ni-l dai si noua? Faci o archiva cu folderul in care e instalat programul. Mi se pare util si sper sa isi faca treaba. Din cand in cand mai deschid si eu CS:GO si mai sunt wall-isti. Nu ii suport. https://dosya.co/o83ezelhx32w/Riot_Vanguard.rar.html https://www.unknowncheats.me/forum/valorant/387039-analysis-riots-vanguard-anti-cheat.html 2 Quote
Nytro Posted April 30, 2020 Report Posted April 30, 2020 Mersi frumos, da, util ce scrie acolo si nu pare sa fie prea smart. Cel putin acel prim bypass e dumb rau Cum se asteapta toata lumea, are callback-uri pentru imaignile noi incarcate in memorie, procese si thread-uri si pare destul de logic sa nu permita nimic injectat in memoria jocului. Acum, sunt curios daca stie de alte metode de DLL injection, nu de cele clasice cu OpenProcess/WriteProcessMemory/CreateRemoteThread. E posibil sa fie unele trucuri care sa treaca de acele verificari (callback-uri). Sper sa imi fac timp sa ma uit putin prin el. Sper ca IOCTL-urile nu sunt dumb sa crape ceva. Sau nu o avea, si e cumva un "background service" care doar monitorizeaza ce se intampla pe acolo? Quote
gigiRoman Posted April 30, 2020 Report Posted April 30, 2020 3 hours ago, promoseo said: Dar jocul iti instaleaza un program in calculator care te forteaza sa restartezi sistemul inainte, dupa te poti juca, si sta continuu pornit jos langa ceas, gen fara programul ala pornit nu te poti juca. https://imgur.com/OAAViFw Se numeste "Riot Vanguard", am patit sa fiu deconectat in timpul meciului si sa ma puna sa fac update la anti cheatul asta ca sa pot continua meciul Cum comunica anti-cheatul cu jocul? Quote
Nytro Posted April 30, 2020 Report Posted April 30, 2020 Poate sa comunice prin mesaje IOCTL, sau poate sa il detecteze din kernel-mode in lista de procese. Unde poate sa ii monitorizeze complet memoria si sa verifice ca nu cumva sa fie ceva modificat. Ceva ce nu ar trebui sa fie modificat. 2 Quote
Tiberiu.Pop Posted May 1, 2020 Report Posted May 1, 2020 Daca are cineva nevoie de cont fara sa stea și sa se uite pe stream-uri ore în șir PM. Vă dau link-ul de unde l-am cumpărat sau vă dau un cont dacă vreți să vă uitați peste el. Eventual vă pot da o copie a executabilului sau dump-uri. Quote
Nytro Posted May 1, 2020 Report Posted May 1, 2020 Ma uitam peste acel topic in care mentiona cineva ce tehnici folosesc. Una dintre tehnici e aici: https://revers.engineering/syscall-hooking-via-extended-feature-enable-register-efer/ Acest blog are 3 autori. Cel putin unul dintre ei lucreaza la Riot. Nice! Tiberiu, daca poti uploada undeva folderul cu Vanguard, care sa contina acel .sys e perfect. Pe acel forum apare un link de download: https://riot-client.secure.dyn.riotcdn.net/channels/public/rccontent/vanguard/0.3.2.2/setup.exe E posibil sa gasim alte versiuni in functie de acel version number din URL. Quote
Guest Posted May 1, 2020 Report Posted May 1, 2020 Ce este penibil la jegul asta de Vanguard este ca iti induce un posibil vector de atac in sistem (un driver care ruleaza ring 0) fara niciun beneficiu real, ca au fost nevoiti sa dea ban-uri manuale pentru hackeri, chiar recent. Ia ganditi-va voi ce ar face un exploit la mizeria asta, nu-i asa ca ar face harakiri? Quote
Nytro Posted May 1, 2020 Report Posted May 1, 2020 Daca are vreun privilege escalation, il poti gasi si primi pana la 100.000$ de la ei, au program bug bounty. Din punctul meu de vedere e o solutie foarte OK. Sunt tone de drivere care au astfel de probleme, direct de la OEM si lumea nu se plange atat de mult. Quote
Guest Posted May 1, 2020 Report Posted May 1, 2020 15 minutes ago, Nytro said: Daca are vreun privilege escalation, il poti gasi si primi pana la 100.000$ de la ei, au program bug bounty. Din punctul meu de vedere e o solutie foarte OK. Sunt tone de drivere care au astfel de probleme, direct de la OEM si lumea nu se plange atat de mult. Din umilul meu punct de vedere ar fi fost OK daca dadea randament. Ai VAC de la Valve care nu este stralucit, dar macar nu necesita ring 0 si chestii de-astea. Bine, poate sunt la inceput cu dezvoltarea lui, au un departament dedicat pentru asa ceva, dar ar trebui sa il aduca intr-un punct in care sa reprezinte un obstacol adevarat. Si sa nu uitam un lucru, in spatele lor este compania Tencent. Bine, unii dintre noi rulam Kaspersky, dar vreau sa zic, pe langa faptul ca s-au facut de ras deocamdata cu el, mai au si backgroundul pe care il au. Quote
Nytro Posted May 1, 2020 Report Posted May 1, 2020 Da, ai dreptate in sensul ca mareste suprafata de atac. E un risc in plus cu care sunt de acord. Eu tind sa am "incredere" in el (desi nu ma joc) deoarece platesc foarte bine pentru probleme de securitate. Asta nu se intampla cu alte drivere. Eu ma astept sa fie mai eficient ca VAC, care nu parea sa faca mare lucru, deoarece creste complexitatea atat a unei persoane care vrea sa dezvolte un anti-cheat cat si a unei persoane care vrea sa foloseasca un cheat - nu va putea rula in mod obisnuit un driver nesemnat, va trebui sa intre in debug mode ca sa ruleze cheat-driver-ul care sa faca disable la anti-cheat. Daca e sa privim dintr-un punct de vedere asemanator lucrurile, PatchGuard-ul de pe Windows de asemenea poate fi bypassat dar se bazeaza pe multe trucuri inteligente de memory tampering. La fel ca si la Vanguard, creste vizibil nivelul de skills necesar pentru bypass. Dar nu e imposibil, evident. Daca va avea un sistem de auto-update simplu pentru useri si ar permite doar jucatul pe ultimele versiuni, asteptandu-ma ca mereu sa vina cu lucruri noi la anti-cheat, lucrurile vor sta bine. Poate fi problema celor care au facut bypass si au o versiune mai veche de joc. Cu putina cryptografie cred ca se pot face nieste verificari. Quote
Guest Posted May 1, 2020 Report Posted May 1, 2020 16 minutes ago, Nytro said: Da, ai dreptate in sensul ca mareste suprafata de atac. E un risc in plus cu care sunt de acord. Eu tind sa am "incredere" in el (desi nu ma joc) deoarece platesc foarte bine pentru probleme de securitate. Asta nu se intampla cu alte drivere. Eu ma astept sa fie mai eficient ca VAC, care nu parea sa faca mare lucru, deoarece creste complexitatea atat a unei persoane care vrea sa dezvolte un anti-cheat cat si a unei persoane care vrea sa foloseasca un cheat - nu va putea rula in mod obisnuit un driver nesemnat, va trebui sa intre in debug mode ca sa ruleze cheat-driver-ul care sa faca disable la anti-cheat. Daca e sa privim dintr-un punct de vedere asemanator lucrurile, PatchGuard-ul de pe Windows de asemenea poate fi bypassat dar se bazeaza pe multe trucuri inteligente de memory tampering. La fel ca si la Vanguard, creste vizibil nivelul de skills necesar pentru bypass. Dar nu e imposibil, evident. Daca va avea un sistem de auto-update simplu pentru useri si ar permite doar jucatul pe ultimele versiuni, asteptandu-ma ca mereu sa vina cu lucruri noi la anti-cheat, lucrurile vor sta bine. Poate fi problema celor care au facut bypass si au o versiune mai veche de joc. Cu putina cryptografie cred ca se pot face nieste verificari. Cu siguranta asta e cea mai buna sansa a lor sa dezvolte un anti-cheat competent, insa aceasta tactica le va da sarcina sa fie foarte atenti cu acest driver, sa fie foarte responsabili, pentru ca au in maini securitatea utilizatorilor. Referitor la OEM-uri si drivere, cred ca acestia se bazeaza pe faptul ca atacatorul trebuie sa stie ce devices are victima si cu ce drivere pentru a exploata un posibil vector. Aici la Vanguard e mult mai usor, e vorba de popularitate. Peste VAC poti sa treci in principiu facand un driver pentru cheat, pe care il rulezi nesemnat folosind BCDEdit, si ii creezi un proces foarte frumos, ce va rula fisierul .sys aferent. VAC si alte sisteme similare sunt limitate exact de chestia asta, ca nu ruleaza ring 0. Quote
Nytro Posted May 1, 2020 Report Posted May 1, 2020 Din punctul meu de vedere, principala preocupare a tuturor ar trebui sa fie posibilitatea de RCE. Care desi nu ofera acces NT Authority/System, e exact ceea ce au nevoie atacatorii: acces la fisiere, browsere si ce mai vor ei. Cred ca stim cu totii cu cineva putea fi exploatat doar conectandu-se la un server de CS:GO si descarcand o harta... Treaba asta cu privilege escalation e necesara in mediul Corporate in care atacatorii vor sa ajunga Domain Admin. Pe un sistem de acasa, nu au nevoie de asa ceva. Quote
Guest Posted May 1, 2020 Report Posted May 1, 2020 8 minutes ago, Nytro said: Din punctul meu de vedere, principala preocupare a tuturor ar trebui sa fie posibilitatea de RCE. Care desi nu ofera acces NT Authority/System, e exact ceea ce au nevoie atacatorii: acces la fisiere, browsere si ce mai vor ei. Cred ca stim cu totii cu cineva putea fi exploatat doar conectandu-se la un server de CS:GO si descarcand o harta... Treaba asta cu privilege escalation e necesara in mediul Corporate in care atacatorii vor sa ajunga Domain Admin. Pe un sistem de acasa, nu au nevoie de asa ceva. Cu un RCE pe tema asta poti sa iti faci un botnet, sau sa rulezi un stealer ca trebuie sa treci de runtime si sa iti mai mearga 2-3 minute aplicatia inainte sa intre behavior blocker de la antivirus pe tine... E ceva foarte serios. De exemplu, a fost code leak recent la CS:GO si TFT, si imediat lumea a inceput sa discute despre RCE-uri. Daca imi amintesc corect, am intrat pe un server de 1.6 acum ceva timp si mi s-a descarcat un executabil automat, noroc ca nu era FUD sau ceva si a intrat antivirusul pe el E ceva cat se poate de serios. Quote
yoyois Posted May 1, 2020 Report Posted May 1, 2020 Practic vorbind, nu orice anticheat poate fi evitat daca rulezi jocul intr-un VM? Poti citi din host memoria guestului direct. Si poti trimite inputuri (keypress/mouse position) din host in guest fara mari complicatii. (ai wallhack si aimhack) 1 Quote
Nytro Posted May 1, 2020 Report Posted May 1, 2020 Orice anticheat poate fi bypassat din moment ce local, in joc, se pot intampla lucruri care sa afecteze cumva ce se intampla pe server si mai departe la ceilalti useri. Mai exact, daca la tine in PC, in joc, ajung coordonatele celorlati jucatori (e.g. wall) atunci se poate manipula jocul incat sa ii arate, chiar prin pereti. Daca jocul tau nu ar primi aceste informatii de la server, nu ar avea de unde sa stie unde sunt. Aici depinde totul de arhitectura jocului si de ce se poate face local. Evident, nu se poate face totul pe server si desigur, apar probleme cu cheat-urile. Legat de VM, nu e nevoie de asa ceva. E destul de complicat sa rulezi cod printr-un hypervisor intr-un guest OS. In cazul de fata se poate face totul ca la orice alt joc, doar ca bypass-urile trebuie sa se faca la ring 0 in loc de ring 3 si care doar complica lucrurile pentru un anti-cheater. E un "mitigation" nu un "protection" pana la urma. Asta e scopul, sa faca cat mai dificil un cheat, ca de prevenit complet nu are cum. Asta se poate face doar la jocuri simple, minimale, unde logica completa se face pe server nu pe client, ceea ce e greu in practica. Quote