Jump to content
YKelyan

RIOT IS OFFERING US$100,000 IF YOU CAN EXPLOIT VALORANT’S ANTI-CHEAT SYSTEM

Recommended Posts

Hmm, nu stiu cum sa facem. Te poti uita prin folder-ul unde e instalat joc-ul sa vezi daca ai vreun fisier cu extensia .sys?

Sau te poti uit ain system32 dupa fisiere de genul "anticheat.sys"? Nu am idee unde si cum ar fi implementat.

Bine, nici nu m-am interesat prea mult, dar nu am vazut prea multe referitor la subiect.

Iar daca gasesti ceva, sa ni-l dai si noua. 

Link to comment
Share on other sites

Dar jocul iti instaleaza un program in calculator care te forteaza sa restartezi sistemul inainte, dupa te poti juca, si sta continuu pornit jos langa ceas, gen fara programul ala pornit nu te poti juca.

 

https://imgur.com/OAAViFw

 

Se numeste "Riot Vanguard", am patit sa fiu deconectat in timpul meciului si sa ma puna sa fac update la anti cheatul asta ca sa pot continua meciul.

Link to comment
Share on other sites

Daca nu-l incarca cineva pana maine, o s-o fac eu, dar doar maine pot (asta daca gasesc folderul unde e). Au fost cativa codati din cate am vazut pe youtube si la niste streameri. Din cate am citit, Vanguard se bazeaza pe machine learning, ceva gen noul AC de la Valve (VACnet). 

Link to comment
Share on other sites

  • Active Members

Din cate stiu eu, sper sa nu gresesc, dar au si ceva prin care iti "baneaza" si ceva hardware la PC. Probabil un MAC de pe placa de retea sau un serial pe la placa video, chestii de genul. Pentru a descuraja cheatingul.

Link to comment
Share on other sites

1 hour ago, Nytro said:

Il poti uploada undeva sa ni-l dai si noua? Faci o archiva cu folderul in care e instalat programul. 

Mi se pare util si sper sa isi faca treaba. Din cand in cand mai deschid si eu CS:GO si mai sunt wall-isti. Nu ii suport. 

https://dosya.co/o83ezelhx32w/Riot_Vanguard.rar.html

https://www.unknowncheats.me/forum/valorant/387039-analysis-riots-vanguard-anti-cheat.html

  • Upvote 2
Link to comment
Share on other sites

Mersi frumos, da, util ce scrie acolo si nu pare sa fie prea smart. Cel putin acel prim bypass e dumb rau :))

Cum se asteapta toata lumea, are callback-uri pentru imaignile noi incarcate in memorie, procese si thread-uri si pare destul de logic sa nu permita nimic injectat in memoria jocului.

Acum, sunt curios daca stie de alte metode de DLL injection, nu de cele clasice cu OpenProcess/WriteProcessMemory/CreateRemoteThread. E posibil sa fie unele trucuri care sa treaca de acele verificari (callback-uri).

Sper sa imi fac timp sa ma uit putin prin el. Sper ca IOCTL-urile nu sunt dumb sa crape ceva. Sau nu o avea, si e cumva un "background service" care doar monitorizeaza ce se intampla pe acolo? 

Link to comment
Share on other sites

3 hours ago, promoseo said:

Dar jocul iti instaleaza un program in calculator care te forteaza sa restartezi sistemul inainte, dupa te poti juca, si sta continuu pornit jos langa ceas, gen fara programul ala pornit nu te poti juca.

 

https://imgur.com/OAAViFw

 

Se numeste "Riot Vanguard", am patit sa fiu deconectat in timpul meciului si sa ma puna sa fac update la anti cheatul asta ca sa pot continua meciul

Cum comunica anti-cheatul cu jocul?

Link to comment
Share on other sites

Ma uitam peste acel topic in care mentiona cineva ce tehnici folosesc.

Una dintre tehnici e aici: https://revers.engineering/syscall-hooking-via-extended-feature-enable-register-efer/

Acest blog are 3 autori. Cel putin unul dintre ei lucreaza la Riot. Nice!

 

Tiberiu, daca poti uploada undeva folderul cu Vanguard, care sa contina acel .sys e perfect. 

 

Pe acel forum apare un link de download: https://riot-client.secure.dyn.riotcdn.net/channels/public/rccontent/vanguard/0.3.2.2/setup.exe

E posibil sa gasim alte versiuni in functie de acel version number din URL. 

Link to comment
Share on other sites

Ce este penibil la jegul asta de Vanguard este ca iti induce un posibil vector de atac in sistem (un driver care ruleaza ring 0) fara niciun beneficiu real, ca au fost nevoiti sa dea ban-uri manuale pentru hackeri, chiar recent. Ia ganditi-va voi ce ar face un exploit la mizeria asta, nu-i asa ca ar face harakiri?

Link to comment
Share on other sites

Daca are vreun privilege escalation, il poti gasi si primi pana la 100.000$ de la ei, au program bug bounty.

Din punctul meu de vedere e o solutie foarte OK. Sunt tone de drivere care au astfel de probleme, direct de la OEM si lumea nu se plange atat de mult. 

 

Link to comment
Share on other sites

15 minutes ago, Nytro said:

Daca are vreun privilege escalation, il poti gasi si primi pana la 100.000$ de la ei, au program bug bounty.

Din punctul meu de vedere e o solutie foarte OK. Sunt tone de drivere care au astfel de probleme, direct de la OEM si lumea nu se plange atat de mult. 

 

Din umilul meu punct de vedere ar fi fost OK daca dadea randament. Ai VAC de la Valve care nu este stralucit, dar macar nu necesita ring 0 si chestii de-astea. Bine, poate sunt la inceput cu dezvoltarea lui, au un departament dedicat pentru asa ceva, dar ar trebui sa il aduca intr-un punct in care sa reprezinte un obstacol adevarat.

 

Si sa nu uitam un lucru, in spatele lor este compania Tencent. Bine, unii dintre noi rulam Kaspersky, dar vreau sa zic, pe langa faptul ca s-au facut de ras deocamdata cu el, mai au si backgroundul pe care il au.

Link to comment
Share on other sites

Da, ai dreptate in sensul ca mareste suprafata de atac. E un risc in plus cu care sunt de acord. Eu tind sa am "incredere" in el (desi nu ma joc) deoarece platesc foarte bine pentru probleme de securitate. Asta nu se intampla cu alte drivere. 

 

Eu ma astept sa fie mai eficient ca VAC, care nu parea sa faca mare lucru, deoarece creste complexitatea atat a unei persoane care vrea sa dezvolte un anti-cheat cat si a unei persoane care vrea sa foloseasca un cheat - nu va putea rula in mod obisnuit un driver nesemnat, va trebui sa intre in debug mode ca sa ruleze cheat-driver-ul care sa faca disable la anti-cheat.

 

Daca e sa privim dintr-un punct de vedere asemanator lucrurile, PatchGuard-ul de pe Windows de asemenea poate fi bypassat dar se bazeaza pe multe trucuri inteligente de memory tampering. La fel ca si la Vanguard, creste vizibil nivelul de skills necesar pentru bypass. Dar nu e imposibil, evident.

 

Daca va avea un sistem de auto-update simplu pentru useri si ar permite doar jucatul pe ultimele versiuni, asteptandu-ma ca mereu sa vina cu lucruri noi la anti-cheat, lucrurile vor sta bine. Poate fi problema celor care au facut bypass si au o versiune mai veche de joc. Cu putina cryptografie cred ca se pot face nieste verificari.  

Link to comment
Share on other sites

16 minutes ago, Nytro said:

Da, ai dreptate in sensul ca mareste suprafata de atac. E un risc in plus cu care sunt de acord. Eu tind sa am "incredere" in el (desi nu ma joc) deoarece platesc foarte bine pentru probleme de securitate. Asta nu se intampla cu alte drivere. 

 

Eu ma astept sa fie mai eficient ca VAC, care nu parea sa faca mare lucru, deoarece creste complexitatea atat a unei persoane care vrea sa dezvolte un anti-cheat cat si a unei persoane care vrea sa foloseasca un cheat - nu va putea rula in mod obisnuit un driver nesemnat, va trebui sa intre in debug mode ca sa ruleze cheat-driver-ul care sa faca disable la anti-cheat.

 

Daca e sa privim dintr-un punct de vedere asemanator lucrurile, PatchGuard-ul de pe Windows de asemenea poate fi bypassat dar se bazeaza pe multe trucuri inteligente de memory tampering. La fel ca si la Vanguard, creste vizibil nivelul de skills necesar pentru bypass. Dar nu e imposibil, evident.

 

Daca va avea un sistem de auto-update simplu pentru useri si ar permite doar jucatul pe ultimele versiuni, asteptandu-ma ca mereu sa vina cu lucruri noi la anti-cheat, lucrurile vor sta bine. Poate fi problema celor care au facut bypass si au o versiune mai veche de joc. Cu putina cryptografie cred ca se pot face nieste verificari.  

Cu siguranta asta e cea mai buna sansa a lor sa dezvolte un anti-cheat competent, insa aceasta tactica le va da sarcina sa fie foarte atenti cu acest driver, sa fie foarte responsabili, pentru ca au in maini securitatea utilizatorilor. Referitor la OEM-uri si drivere, cred ca acestia se bazeaza pe faptul ca atacatorul trebuie sa stie ce devices are victima si cu ce drivere pentru a exploata un posibil vector. Aici la Vanguard e mult mai usor, e vorba de popularitate.

 

Peste VAC poti sa treci in principiu facand un driver pentru cheat, pe care il rulezi nesemnat folosind BCDEdit, si ii creezi un proces foarte frumos, ce va rula fisierul .sys aferent. VAC si alte sisteme similare sunt limitate exact de chestia asta, ca nu ruleaza ring 0.

Link to comment
Share on other sites

Din punctul meu de vedere, principala preocupare a tuturor ar trebui sa fie posibilitatea de RCE. Care desi nu ofera acces NT Authority/System, e exact ceea ce au nevoie atacatorii: acces la fisiere, browsere si ce mai vor ei. Cred ca stim cu totii cu cineva putea fi exploatat doar conectandu-se la un server de CS:GO si descarcand o harta...

 

Treaba asta cu privilege escalation e necesara in mediul Corporate in care atacatorii vor sa ajunga Domain Admin. Pe un sistem de acasa, nu au nevoie de asa ceva. 

Link to comment
Share on other sites

8 minutes ago, Nytro said:

Din punctul meu de vedere, principala preocupare a tuturor ar trebui sa fie posibilitatea de RCE. Care desi nu ofera acces NT Authority/System, e exact ceea ce au nevoie atacatorii: acces la fisiere, browsere si ce mai vor ei. Cred ca stim cu totii cu cineva putea fi exploatat doar conectandu-se la un server de CS:GO si descarcand o harta...

 

Treaba asta cu privilege escalation e necesara in mediul Corporate in care atacatorii vor sa ajunga Domain Admin. Pe un sistem de acasa, nu au nevoie de asa ceva. 

Cu un RCE pe tema asta poti sa iti faci un botnet, sau sa rulezi un stealer ca trebuie sa treci de runtime si sa iti mai mearga 2-3 minute aplicatia inainte sa intre behavior blocker de la antivirus pe tine... E ceva foarte serios. De exemplu, a fost code leak recent la CS:GO si TFT, si imediat lumea a inceput sa discute despre RCE-uri. Daca imi amintesc corect, am intrat pe un server de 1.6 acum ceva timp si mi s-a descarcat un executabil automat, noroc ca nu era FUD sau ceva si a intrat antivirusul pe el :D E ceva cat se poate de serios.

Link to comment
Share on other sites

Practic vorbind, nu orice anticheat poate fi evitat daca rulezi jocul intr-un VM?

Poti citi din host memoria guestului direct. Si poti trimite inputuri (keypress/mouse position) din host in guest fara mari complicatii.

(ai wallhack si aimhack)

  • Upvote 1
Link to comment
Share on other sites

Orice anticheat poate fi bypassat din moment ce local, in joc, se pot intampla lucruri care sa afecteze cumva ce se intampla pe server si mai departe la ceilalti useri.

Mai exact, daca la tine in PC, in joc, ajung coordonatele celorlati jucatori (e.g. wall) atunci se poate manipula jocul incat sa ii arate, chiar prin pereti. Daca jocul tau nu ar primi aceste informatii de la server, nu ar avea de unde sa stie unde sunt. Aici depinde totul de arhitectura jocului si de ce se poate face local. Evident, nu se poate face totul pe server si desigur, apar probleme cu cheat-urile.

 

Legat de VM, nu e nevoie de asa ceva. E destul de complicat sa rulezi cod printr-un hypervisor intr-un guest OS. In cazul de fata se poate face totul ca la orice alt joc, doar ca bypass-urile trebuie sa se faca la ring 0 in loc de ring 3 si care doar complica lucrurile pentru un anti-cheater. E un "mitigation" nu un "protection" pana la urma. Asta e scopul, sa faca cat mai dificil un cheat, ca de prevenit complet nu are cum. Asta se poate face doar la jocuri simple, minimale, unde logica completa se face pe server nu pe client, ceea ce e greu in practica.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...