Материал взят из поста в телеграм-канале: https://t.me/Russian_OSINT/5612

Есть сайты, которые продают приватные читы для видеоигр от рандомных команд.

На одном из относительно популярных сайтов для покупки читов (70к визитов в месяц — по данным Similarweb) обнаружилась интересная штука.

При покупке чита предъявляются следующие требования:

Требования чита XYZ для игры Squad:

▪️Поддерживает только GPT (MBR не поддерживаем)

▪️Отключить Secure boot и TPM, Ваш Bios должен быть в формате UEFI

▪️Intel и AMD с поддержкой AVX1

▪️Windows 10 (2004, 20H2, 21H1, 21H2, 22H2), Windows 11

Подписчик пожаловался, что после установки читы стали происходить странные аномалии
— фризы, постоянные капчи в браузере.
Может ли это быть руткит?

Возможно паранойя, но попробуем порассуждать на эту тему в контексте кибербезопасности...

Что смутило?
Отключение Secure Boot, TPM, переход на GPT-разметку и запуск системы в режиме UEFI.

1️⃣ Отключение Secure Boot устраняет критически важный механизм контроля целостности загрузки UEFI, позволяя запускать неподписанные или модифицированные загрузчики и .efi-драйверы на раннем этапе инициализации системы.

Когда продавец чита требует отключить Secure Boot, он, по сути, просит пользователя довериться на "слово".

Становится возможна загрузка неподписанных или модифицированных драйверов и загрузчиков, что создаёт оптимальные условия для внедрения вредоносного кода на уровне ядра до запуска защитных механизмов Windows.

2️⃣ Отключение TPM снижает уровень аппаратной защиты и ослабляет механизмы контроля целостности загрузки, делая систему уязвимой для атак на загрузочную среду и обхода BitLocker, VBS и HVCI.

В сочетании с отключённым Secure Boot создаётся среда, в которой вредоносные или модифицированные загрузчики и драйверы могут работать практически без ограничений, оставаясь незаметными для стандартных средств защиты Windows.

3️⃣ Требование использования GPT и режима UEFI, особенно при отключённом Secure Boot, указывает на взаимодействие чита с системой на низком уровне
— через загрузчики или EFI-драйверы, облегчая внедрение собственных компонентов в процесс загрузки Windows/

А в отдельных случаях может быть использовано для реализации устойчивых угроз, таких как UEFI-руткиты (например, LoJax, BlackLotus, MosaicRegressor), которые интегрируются в прошивку материнской платы (SPI-flash) и способны сохраняться даже после переустановки ОС.

4️⃣ Когда чит получает привилегии уровня ядра, то он может осуществлять прямой доступ к физической памяти, скрывать свои процессы, вмешиваться в работу антивирусов, изменять системные вызовы и поведение API.

Особенно опасны случаи загрузки неподписанных драйверов.

5️⃣ Требование AVX (Advanced Vector Extensions).
Требование поддержки AVX обычно связано с необходимостью выполнения ресурсоёмких операций, таких как баллистические вычисления или обработка данных в реальном времени, но может также использоваться для шифрования, сжатия и обфускации кода.

Вредоносные загрузчики иногда применяют AVX-инструкции для расшифровки полезной нагрузки непосредственно в памяти во время выполнения, что затрудняет статический анализ и позволяет скрыть вредоносный код от антивирусов и EDR-систем до момента активации.

Использование читов, требующих ручного отключения механизмов загрузочной защиты, фактически означает полную потерю доверия к целостности и безопасности операционной системы.

В очень редких случаях злоумышленники могут даже попытаться затруднить анализ сетевого трафика типа Wireshark, однако применение таких техник среди рядовых приватных читов практически не встречается (я не слышал).

С учётом всех вышеперечисленных моментов (совокупно) нельзя сказать о 100% вредоносное (может у подписчика дело в другом), тут речь идёт о потенциальных рисках.

Ставить приват-чит на систему с важными данными за 400 рублей в месяц от ноунейм чит-девелопера — идея, сомнительная.

Техническая сторона вопроса c Secure Boot, TPM и UEFI показалась интересной.

Хакерская группа Massgrave сообщила о том, что ей удалось разработать новый способ взлома активации операционных систем Windows и офисного пакета Office.

По словам хакеров, новый метод взлома стал самым крупным прорывом в истории взломов данных продуктов. Сообщается, что с помощью него будет будет активировать любую Windows (в том числе серверные варианты), начиная с Windows Vista и заканчивая Windows 11.

Хакеры сообщают, что новый метод взлома позволяет получать даже платные обновления безопасности, которые Microsoft в закрытом режиме выпускает после прекращения поддержки ОС. Данный метод взлома не требует изменения системных файлов.

По всей видимости, в отличии от нынешних активаторов Windows вроде KMS Office, новый метод взлома будет работать не через привычный способ подмены сервера активации. Взлом станет доступен публично в ближайшие месяцы - Massgrave говорит, что им требуется некоторое время на его доработку.

Взято оццудо

Не спешите расстраиваться. у нас есть обходные пути. Вам следует в ключе реестра CountryCode в HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs установить значение "std::wstring|US" - или любое другое, кроме "std::wstring|RU"

Сделать это можно, выполнив команду в командной строке (от имени администратора):

reg add "HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs" /v "CountryCode" /t REG_SZ /d "std::wstring|US" /f

3. Настройте установку

Откройте скачанный архив "Office Deployment Tool" и найдите файл configuration-Office2021Enterprise.xml.

Откройте этот файл с помощью программы "Блокнот".

Найдите строку <Channel>PerpetualVL2021</Channel> и замените PerpetualVL2021 на выбранный вами тип обновлений (например, Current).

Найдите строку <Product ID="ProPlus2021Volume"> и убедитесь, что ProPlus2021Volume соответствует нужному вам пакету Office (например, ProPlus2024Volume для Office 2024). Если нужно, измените его.

Найдите строку <Language ID="en-us" /> и добавьте ниже строку <Language ID="ru-ru" />, чтобы установить русский язык интерфейса.

Сохраните файл configuration-Office2021Enterprise.xml.

4. Скачайте Office

• Откройте командную строку от имени администратора

• Перейдите в папку, куда вы распаковали "Office Deployment Tool". Для этого используйте команду cd, например: cd C:\ODT (если вы распаковали в папку C:\ODT).

• Введите следующую команду и нажмите Enter:

setup.exe /download configuration.xml

Дождитесь завершения загрузки.

Установите Office

• Важно: Если вы выбрали "Current Channel" и хотите установить корпоративную версию Office (с "Volume" в названии), откройте файл configuration.xml и замените название канала на PerpetualVL2024 (или аналогичный).

• В командной строке введите следующую команду и нажмите Enter:

setup.exe /configure configuration.xml

Дождитесь завершения установки.

7. Активация

Если у вас есть ключ продукта Microsoft 365, KMS или MAK, активируйте Office с его помощью.

Если у вас нет ключа:

• Откройте программу PowerShell от имени администратора (откройте меню "Пуск", напишите "powershell" и нажмите Enter, затем нажмите правой кнопкой мыши на "Windows PowerShell" и выберите "Запуск от имени администратора").

• Скопируйте и вставьте следующую команду:

irm https://get.activated.win | iex

• Выберите цифру 2 (OHook activation), затем цифру 1 (Install Office OHook Activation).

При этом система активируется навсегда. Не как в случае KMS на 90 или 180 дней, а навсегда. Совсем навсегда

Подпишитесь на мой телеграм-канал, где я регулярно выкладываю полезные сервисы и приложения для жизни.

🎮(уникальные аниме-игры для Японии, Китая и Средней Азии)

🎮... свыше 1000 игр!

Таким образом можно прикинуть масштабы получения прибыли Sony DADC AG только на одной защите SecuROM 7-8 версии в период с 2005 - 2018 год. Причём даже после выхода DENUVO в 2014 году, DRM-защита SecuROM просуществовала как минимум 4 года под крышей «DENUVO Software Solution GmhH» в лице версий 08.013.0056 и 08.013.0076. Это крайние версии, в которых предпринята неудачная попытка защититься от 80_PA. Для сравнения конкуренты «умерли от пиратства» гораздо раньше:

💿Macrovosion SafeDisk - 2005 год;

💿Protection Technology StarForce ~2010 год;

💿иже с ними CD-Cops, Armadillo, ASProtect. Помянем!🏴‍☠️

DENUVO

То что не расскажет Вам EMPRESS. Всем кто хочет попробовать немного прикоснуться к защите DENUVO - в открытом доступе теперь находится технология (код получен путём реверс-инжиниринга) работы Electronic Arts: Origin Core и применяемый для активации так называемый GameToken, который выдаётся персонально Вам серверами DENUVO на основе HWID Вашего компьютера.

Chrome Windows 7 CRACK

Основной репозиторий на GitHUB был закрыт по требованию Google LLC и Microsoft Corp. без указания конкретного пункта нарушения правил.

Неясно насколько долго продержится резервная копия, но мы уже думаем над переездом.

cracklab.team/PAunlock