Пираты обходят Denuvo с помощью гипервизор-байпасов — Irdeto обещает принять меры

С тех пор как существуют защищенные компьютерные игры, люди пытались взломать или обойти эти «цифровые замки» с помощью патчей, лоадеров и кейгенов.

Новое поколение байпасов на базе гипервизора позволяет «взламывать» игры с защитой Denuvo прямо в день их выхода, что знаменует собой фундаментальный сдвиг в ландшафте цифрового пиратства. Материнская компания Denuvo, Irdeto, сообщила TorrentFreak, что уже работает над ответными мерами, одновременно предупреждая, что новые «кряки» представляют угрозу безопасности. Популярный репакер FitGirl изначально также высказывала опасения по поводу безопасности, но позже поддержала новый метод по мере его совершенствования.

В современной игровой индустрии с многомиллиардными оборотами защита игр важна как никогда. Особенно в период «релизного окна», когда генерируется основная часть продаж.

В последнее десятилетие основным решением в области защиты от пиратства была Denuvo. ПО, принадлежащее компании Irdeto, удавалось серьезно задерживать появление пиратских релизов. Несмотря на то, что защита доставляла неудобства многим легальным покупателям, игровые компании охотно платили за этот «первый рубеж обороны».

Так было до тех пор, пока несколько недель назад ситуация внезапно не изменилась с утечкой «Resident Evil Requiem» всего через несколько часов после официального релиза.

Ранняя утечка не была разовой акцией. В последнее время вышла целая волна байпасов Denuvo на базе гипервизора, включая релизы «нулевого дня» (day-zero) для таких крупных проектов, как Crimson Desert и Life is Strange: Reunion. Тем временем, под натиском нового метода пали и давно защищенные тайтлы, вроде Assassin’s Creed Shadows.

Скорость и масштаб этих взломов, которые также обходят и другие виды DRM, беспрецедентны. Если раньше некоторые именитые крякеры опасались, что Denuvo фактически положит конец игровому пиратству, то теперь ситуация развернулась на 180 градусов.

Традиционно от крякеров требовалось проводить реверс-инжиниринг путей DRM Denuvo для создания патча к игре — это трудоемкий процесс, который мог занимать месяцы.

Байпасы на базе гипервизора используют фундаментально иной подход. Они не вмешиваются в работу игры напрямую, а функционируют ниже уровня видимости стандартных средств безопасности операционной системы — на уровне, который исследователи безопасности называют Ring -1.

На этом базовом уровне, при отключенных ключевых функциях безопасности, гипервизор-байпас может перехватывать инструкции CPU от Denuvo и подменять данные, заставляя игру верить, что защита от несанкционированного вмешательства (tampering protection) все еще на месте.

Поскольку такие байпасы гораздо проще в разработке, новые «кряки» выходят быстрее, чем когда-либо. Если раньше пиратам приходилось ждать неделями, то теперь они могут играть в пиратские версии уже через несколько часов после выхода. Это беспрецедентный случай.

Байпасы через гипервизор — это прорыв, но у них есть и обратная сторона. Критики сразу предупредили: для того чтобы они работали, пользователю фактически приходится отключать ключевой слой защиты своего компьютера.

Кроме того, байпасы страдают от проблем, специфичных для конкретного «железа». На данный момент системы на базе AMD работают стабильнее, в то время как пользователи Intel сталкиваются со значительными проблемами производительности и стабильности, что приводит к появлению других опасных «твиков».

Этот метод взлома еще относительно молод, и новые наработки появляются почти ежедневно, а центральным хабом стал форум Steam Underground (CS.RIN.RU). Форум не только способствует распространению пиратских релизов, но и предлагает подробные образовательные ресурсы по потенциальным проблемам безопасности, предупреждая о серьезных рисках.

«Даже если вы доверяете авторам драйвера гипервизора и сами компилируете его из исходного кода, серьезная уязвимость в его коде может мгновенно обеспечить максимальный и необнаружимый доступ к вашей системе», — пишет администратор форума RessourectoR.

Остается открытым вопрос: будет ли среднестатистический любитель пиратских игр вообще читать эти предупреждения.

Масштаб проблемы не остался незамеченным. Пока пираты пытаются разобраться с вопросами безопасности, Denuvo работает над обновлением, которое нейтрализует новые гипервизор-кряки.

Материнская компания Denuvo, Irdeto, сообщила TorrentFreak, что они активно разрабатывают контрмеры.

«Мы уже работаем над обновленными версиями защиты для игр, затронутых байпасами через гипервизор. Для игроков производительность не снизится из-за этих усиленных мер безопасности», — заявляет Даниэль Бутшек, глава отдела коммуникаций Irdeto.

Подробности об этих контрмерах появятся в свое время. Некоторые предполагали, что для борьбы с гипервизор-кряками Denuvo также придется работать в Ring -1, под ядром Windows, но это не так.

«Устранение обходов на базе гипервизора не потребует от Denuvo перехода в Ring -1 или на более глубокий уровень ядра, и это не то направление, в котором мы движемся», — говорит Бутшек.

Поскольку в пиратской экосистеме уже предупреждают о проблемах с безопасностью, неудивительно, что Irdeto также акцентирует на этом внимание.

«Байпасы на базе гипервизора полагаются на установку кастомного, самоподписанного гипервизора, который работает ниже ядра Windows, получая гораздо более широкий контроль, чем обычный драйвер», — отмечает Бутшек, предупреждая, что это делает системы более уязвимыми.

«Для запуска пользователи должны отключить основные механизмы безопасности Windows, такие как Virtualization-Based Security (VBS), Hypervisor-Enforced Code Integrity (HVCI) и обязательную проверку подписи драйверов, которые предназначены для предотвращения появления вредоносного ПО на уровне ядра, руткитов и программ-вымогателей».

Изначально популярный репакер FitGirl также была весьма осторожна из-за массовых опасений по поводу безопасности.

«Вы не увидите от меня репаков с HV-кряками до тех пор, пока для их работы требуется отключать функции безопасности», — писала FitGirl в одном из ранних постов, добавляя, что ни одна игра не стоит потенциального непоправимого ущерба компьютеру.

Однако по мере того как разработка байпасов силами KiriGiri и команды MKDEV продолжалась, ситуация с безопасностью улучшилась. Когда требование отключать Secure Boot или использовать инструмент EfiGuard было устранено, FitGirl изменила свою позицию, признавая при этом недостатки метода.

Вскоре после этого FitGirl начала публиковать гипервизор-репаки, помечая каждый из них заметным ярлыком HYPERVISOR и обещая заменить их традиционными кряками, если и когда те станут доступны.

В беседе с TorrentFreak FitGirl указала на продолжающиеся технические улучшения, сохраняя при этом бдительность.

«Команда, стоящая за этими кряками, сейчас работает над совершенствованием как части VBS.cmd, так и самих взломов», — рассказала она нам. — «Так что я думаю, большинство проблем, возникающих на Intel или старых CPU, будут решены в ближайшее время».

«Осторожность с гипервизор-байпасами все еще необходима. В основном в плане того, что вы скачиваете и запускаете. Но это справедливо для любой закачки и не является спецификой гипервизоров», — добавляет FitGirl.

FitGirl отмечает, что люди никогда не должны запускать что-либо на своем компьютере, пока не убедятся, что файл получен из надежного источника. Это поднимает вопрос о доверии к полуанонимным пиратским источникам, но на данный момент о крупных инцидентах, связанных с гипервизор-байпасами, не сообщалось.

Что примечательно, так это высокий уровень правил сообщества и модерации. Ресурс CS.RIN.RU всегда был очень строгим, и в случае с этими байпасами администратор RessourectoR осуществляет надзор через детальные требования к релизам и своды правил.

По словам FitGirl, такие строгие правила обнадеживают. Однако доверие всегда может быть подорвано в будущем, и в этом тоже заключается риск.

Хотя у Irdeto есть несколько вариантов ответа, конкретные контрмеры пока остаются под вопросом. Denuvo могла бы проверять наличие сторонних гипервизоров через CPUID или измерять задержки процессора (latency).

FitGirl предположила, что Irdeto также может ответить переходом на ежедневную проверку лицензионных тикетов, но это стало бы помехой для легальных игроков и также могло бы быть обойдено. В качестве альтернативы компания могла бы попросить помощи у Microsoft для ограничения режима Driver Signature Enforcement (DSE), но это тоже не кажется жизнеспособным вариантом.

Одно можно сказать наверняка: Denuvo постарается решить проблему всеми доступными средствами, продолжая, казалось бы, бесконечную игру в «кошки-мышки». Хотя Irdeto понимает, что не может полностью искоренить пиратство, компания хотела бы вернуться к ситуации, когда игры оставались не взломанными в течение многих недель.

Однако на данный момент байпасы через гипервизор сделали пиратские релизы в «нулевой день» реальностью. Для тех, кто готов пойти на риск.

Автор: Эрнесто Ван дер Сар Источник

#crack #denuvo #irdeto #hacks