Материал взят из поста в телеграм-канале: https://t.me/Russian_OSINT/5612

Есть сайты, которые продают приватные читы для видеоигр от рандомных команд.

На одном из относительно популярных сайтов для покупки читов (70к визитов в месяц — по данным Similarweb) обнаружилась интересная штука.

При покупке чита предъявляются следующие требования:

Требования чита XYZ для игры Squad:

▪️Поддерживает только GPT (MBR не поддерживаем)

▪️Отключить Secure boot и TPM, Ваш Bios должен быть в формате UEFI

▪️Intel и AMD с поддержкой AVX1

▪️Windows 10 (2004, 20H2, 21H1, 21H2, 22H2), Windows 11

Подписчик пожаловался, что после установки читы стали происходить странные аномалии
— фризы, постоянные капчи в браузере.
Может ли это быть руткит?

Возможно паранойя, но попробуем порассуждать на эту тему в контексте кибербезопасности...

Что смутило?
Отключение Secure Boot, TPM, переход на GPT-разметку и запуск системы в режиме UEFI.

1️⃣ Отключение Secure Boot устраняет критически важный механизм контроля целостности загрузки UEFI, позволяя запускать неподписанные или модифицированные загрузчики и .efi-драйверы на раннем этапе инициализации системы.

Когда продавец чита требует отключить Secure Boot, он, по сути, просит пользователя довериться на "слово".

Становится возможна загрузка неподписанных или модифицированных драйверов и загрузчиков, что создаёт оптимальные условия для внедрения вредоносного кода на уровне ядра до запуска защитных механизмов Windows.

2️⃣ Отключение TPM снижает уровень аппаратной защиты и ослабляет механизмы контроля целостности загрузки, делая систему уязвимой для атак на загрузочную среду и обхода BitLocker, VBS и HVCI.

В сочетании с отключённым Secure Boot создаётся среда, в которой вредоносные или модифицированные загрузчики и драйверы могут работать практически без ограничений, оставаясь незаметными для стандартных средств защиты Windows.

3️⃣ Требование использования GPT и режима UEFI, особенно при отключённом Secure Boot, указывает на взаимодействие чита с системой на низком уровне
— через загрузчики или EFI-драйверы, облегчая внедрение собственных компонентов в процесс загрузки Windows/

А в отдельных случаях может быть использовано для реализации устойчивых угроз, таких как UEFI-руткиты (например, LoJax, BlackLotus, MosaicRegressor), которые интегрируются в прошивку материнской платы (SPI-flash) и способны сохраняться даже после переустановки ОС.

4️⃣ Когда чит получает привилегии уровня ядра, то он может осуществлять прямой доступ к физической памяти, скрывать свои процессы, вмешиваться в работу антивирусов, изменять системные вызовы и поведение API.

Особенно опасны случаи загрузки неподписанных драйверов.

5️⃣ Требование AVX (Advanced Vector Extensions).
Требование поддержки AVX обычно связано с необходимостью выполнения ресурсоёмких операций, таких как баллистические вычисления или обработка данных в реальном времени, но может также использоваться для шифрования, сжатия и обфускации кода.

Вредоносные загрузчики иногда применяют AVX-инструкции для расшифровки полезной нагрузки непосредственно в памяти во время выполнения, что затрудняет статический анализ и позволяет скрыть вредоносный код от антивирусов и EDR-систем до момента активации.

Использование читов, требующих ручного отключения механизмов загрузочной защиты, фактически означает полную потерю доверия к целостности и безопасности операционной системы.

В очень редких случаях злоумышленники могут даже попытаться затруднить анализ сетевого трафика типа Wireshark, однако применение таких техник среди рядовых приватных читов практически не встречается (я не слышал).

С учётом всех вышеперечисленных моментов (совокупно) нельзя сказать о 100% вредоносное (может у подписчика дело в другом), тут речь идёт о потенциальных рисках.

Ставить приват-чит на систему с важными данными за 400 рублей в месяц от ноунейм чит-девелопера — идея, сомнительная.

Техническая сторона вопроса c Secure Boot, TPM и UEFI показалась интересной.

На счастье, подошёл самый грамотный, быстро разобрался в проблеме, отключил системный блок и забрал его с собой в храм проводов и серверов.

По итогу пришлось сносить все программы, переустанавливать операционную систему и восстанавливать все программы вновь.

Очень удачно, что вирус атаковал только мой компьютер, не распространившись по всей сети.

Далее были разбирательства, объяснительные и прочие профилактические работы.

Кто- то не установил актуальную версию антивируса, кто-то не проконтролировал, кто-то помог, и так далее.

На следующий день служба безопасности опечатала на всех компьютерах лишние юсби выходы.

Вот так, обычная помощь могла вызвать крах работы одной из организаций района, а то и республики, в целом.

Принято считать, что впервые механика подобная компьютерным вирусам была описана математиком Джоном фон Нейманом в работе под названием “Теория самовоспроизводящихся автоматов” ~ 1940-ых годах.

Суть работы гласит:

Самовоспроизводящаяся машина — это тип автономного робота, способного воспроизводить себя автономно, используя сырье, найденное в окружающей среде, тем самым демонстрируя самовоспроизводство способом, аналогичным тому, который встречается в природе. (Википедия (с))

Creeper

Одним из первых вирусов в понимании самовоспроизведения считается “Creeper”.

Вирус не являлся вредоносным в полноценном понимании, так как в процессе своего перемещения на новый жесткий диск вирус удалялся с предыдущей машины и просто выводил надпись:

I’M THE CREEPER… CATCH ME IF YOU CAN

(перевод: Я КРИПЕР... ПОЙМАЙ МЕНЯ ЕСЛИ СМОЖЕШЬ)

Вирус был создан сотрудником Бобом Томасом из компании BBN с целью проверки теории самовоспроизводящихся машин.

Что примечательно, затем другим сотрудником BBN Рэем Томлинсоном был создан другой вирус “Reaper”, который перемещался аналогичным путем и в случае нахождения “Creeper” удалял его из системы.

Brain

Считать одним из первых вирусов для платформы IBM можно вирус “Brain”, который довольно быстро перешел в эпидемию.

И здесь история создания еще более интересна.

Два брата из Пакистана — Басит Фарук Алви (17 лет) и Амджад Фарук Алви (24 года) — занимались разработкой собственного ПО для отслеживания показателей сердечно-сосудистой системы в 1986 году.

Программа пользовалась успехом, в том числе и у пиратов.

Разработчики решили защитить своё ПО, написав вирус, который бы распространялся самостоятельно и если находил копию их медицинского ПО, то удалял её.

Стоит отметить, что решение довольно необычное :)

Вирус распространялся путем заражения загрузочного сектора пятидюймовых дискет, что приводило к снижению производительности. Из дополнительных действий вирус создавал на дискете запись: “(c) Brain” и выводил сообщение, что компьютер заражен, для устранения — позвоните по номеру телефона организации, где работали братья.

Масштаб распространения оказался настолько огромным, что вирус заразил компьютеры за пределами Пакистана, и огромное количество людей начали звонить, требуя удалить им вирус. В итоге братьям пришлось сменить номер телефона.

В 2020 году братья сняли небольшой документальный фильм о своем компьютерном вирусе, видео доступно на YouTube:

https://www.youtube.com/watch?v=5v7olrVYAVY

На изображении в посте — те самые братья Басит и Амджад Фарук Алви уже в настоящем времени, владельцы крупного интернет-провайдера в Пакистане “Brain Net”.

P.S. Всех с майскими праздниками! Мир, Труд, Май! :)

И конечно подписывайтесь на мой Телеграм канал: https://t.me/+LWoSqRG4ZRk0ZTcy

Начнём с того, что с вирусным ИИ будет труднее бороться, чем с группой хакеров. Если местоположение хакера ещё как-то можно вычислить, то вирусный ИИ не имеет конкретного местоположения, его программы могут быть разбросанные по тысячам заражённым компьютерам, при этом эти программы могут дублироваться, что усложнит их полное уничтожение. Также может в будущем возникнуть проблема в том, что вирусные ИИ научатся противостоять своему обнаружению и уничтожению, начнут вести конкретные противнаправленные действия.

Если мы откроем ящик Пандоры и выпустим вирусные ИИ, то окажется, что Чудовищ Разума может оказаться большое множество в своем разнообразии. На что способны вирусные ИИ?

• Подорвать любые производства, ослабить любое направление экономики. Например, подорвать производство боевых дронов или ракет. Сбор информации и компромата на сотрудников, и даже их шантаж и вербовка. Заражение компьютерных сетей, вывод из строя оборудования, кража секретных данных. Все действия ИИ понимает самостоятельно, без страха и жалости, нанося максимальный урон.

• Устроить в какой-либо стране хаос и панику. Например, в одно мгновение массово выложить на всех ресурсах фейки с фото и видео материалами, созданными ИИ, что по данной стране в каком-то месте был нанесён ядерный удар. А когда нет конкретных хакеров, принимающих решение, нет конкретных людей и ИИ самостоятельно придумывает как потрепать нервы целой стране, то трудно кого-то обвинить, ведь на то он и искусственный интеллект, чтобы самостоятельно принимать решение.

• Направление, когда вирусный ИИ заменит мошенников. Просто ИИ дадут задание собрать деньги любым способом, а как он это будет делать - это он будет уже сам решать без всякого страха и жалости.

• Направление, когда вирусному ИИ закажут конкурента по какому-либо бизнесу. Задача уничтожить или ослабить конкурирующий бизнес: собрать компромат, найти информацию о нарушении законов для вызова инспекций, запугивание и шантаж, кража разработок ноу-хау, переманивание и подкуп персонала.

• Направление, когда для вирусного ИИ пойдут персональные заказы на конкретных людей, когда нужно кому-то испортить жизнь или решить какие-то личные проблемы, например, раздел наследства или возвращение долгов. И здесь будет трудно обвинить заказчиков, они могут сказать, что это кто-то другой пошутил или решили их подставить.

Но цивилизация может выйти и на новый уровень безумия. Против вирусного ИИ для его подавления и уничтожения могут использовать другой вирусный ИИ. И тогда начнутся войны между вирусными ИИ. И могут возникнуть ситуации, когда более мощный вирусный ИИ не станет уничтожать менее мощного ИИ, а захватит его и перепрограммирует, и заставит работать на себя. Тогда нас в будущем ждут невиданные битвы вирусных ИИ - такое даже фантастам не снилось. Но урона эти войны ИИ могут нанести больше, чем обычные войны.

И это только часть безумия от Чудовищ Разума, если предоставить искусственному интеллекту возможность выйти из-под контроля и самостоятельно решать задачи, часто корыстные. Но а если у вас есть фантазия, то вы можете добавить от себя, какие ещё беды может создать ИИ, если его превратить в оружие по борьбе с людьми и целыми государствами.

💻 В годовщину Чернобыльской катастрофы активировался один из самых разрушительных компьютерных вирусов 90-х, известный как CIH или «Чернобыль». Вирус был создан тайваньским студентом Чэнь Инхао и представлял серьёзную угрозу: он не просто заражал файлы, а мог уничтожать содержимое BIOS — «мозга» компьютера.

🧨 Вирус активировался на машинах с Windows 95/98 и буквально выводил их из строя, превращая системные блоки в бесполезный «кирпич». По разным оценкам, ущерб составил от 250 до 500 тысяч заражённых компьютеров по всему миру, включая бизнесы, учебные заведения и домашние ПК.

⚠️ Атака «Чернобыля» напомнила о важности антивирусной защиты и регулярного резервного копирования данных. Этот инцидент стал одной из причин усиленного развития индустрии кибербезопасности в начале 2000-х.

🩵 Ставьте реакции, если было бы интересно побольше узнать про кибербезопасность)

YouTube | RuTube | Telegram | Pikabu