《街头霸王5》反作弊驱动后门大揭秘
liebian365 2024-10-20 09:59 22 浏览 0 评论
以制作动作游戏闻名世界的Capcom最近曝出乌龙事件。在Capcom出品的《街头霸王5》一次更新中,它内置了一个用来防止玩家作弊的驱动程序Capcom.sys,然而这个反作弊驱动却闯了大祸,刚发布不久就被曝光其实是一个高度危险的后门,它可以帮助任意程序获得系统内核权限,当然也会被木马病毒轻易利用,比如绕过沙箱、破坏杀毒软件、HIPS等防护产品,完全瓦解系统安全体系。
Capcom中文名为卡普空株式会社,代表性游戏有《生化危机》、《街头霸王》、《鬼泣》等,可以说很多70后、80后玩家都是玩着Capcom的游戏长大的。然而此次《街头霸王5》的后门事件却让Capcom陷入窘境,为此专门致歉并发布了升级补丁。这里我们建议相关游戏用户尽快升级补丁,同时提醒各大安全厂商注意,尽快针对存在后门的Capcom.sys版本进行防御。根据测试,目前国内外仍有大量杀毒软件可以被恶意程序利用Capcom后门轻松击溃。
以下我们将对Capcom.sys进行深入分析,揭秘该驱动后门对系统安全造成的巨大隐患。
0x1 逆向分析Capcom.sys
Capcom.sys所做的就是关闭操作系统的安全机制并提升自己游戏为管理员权限,目的在于能够对系统上所有的文件进行操作。它预留了接口让应用层的程序(游戏)调用,来实现一些更高级、更自由的操作,比如防止游戏内存修改,验证正版用户等。接下来我们开始逆向分析 Capcom.sys,看看此神奇的驱动到底做了什么。。。
最关键的函数有如下5个:
1:关闭SMEP(Supervisor Mode Execution Protection)
那么啥是SMEP呢?SMEP全称是Supervisor Mode Execution Protection。监管模式执行保护。存在与CR4中的第20位处。
SMEP的引入是Intel考虑到系统安全而新增的机制。我们知道CPU提供了环权限的机制,也就是我们平常所说的ring0,ring3。当然还有ring1和ring2(甚至ring-1)。只不过windows操作系统只使用了2个环(ring0和ring3)。环的产生意味着权限的产生。不同环的权限等极也是不同的,环的数字越小,则权限越高。SMEP的存在就是为了防止不同环访问不同权限的页面而产生的。
在未开启SMEP前,Supervisor Mode(ring0-2)所对应的page entry属性可以是user或者Supervisor,也就是说page entry.u/s可以为0,也可以为1。User mode(ring-3)所对应的page entry属性只能是user(page entry.u/s=0)。
在开启SMEP后,Supervisor Mode(ring0-2)所对应的page entry.u/s只能为0。这也就意味着Supervisor Mode(ring0-2)将无法访问User mode(ring3)的页面。
Capcom.sys正是利用了这点,关闭了SMEP,使得ring0的模式可以访问ring3的代码,这里所指的ring3的代码也就是合法的shellcode了。不过这比shellcode更生猛,因为Capcom.sys可以直接访问ring3的函数。
2:开启SMEP(Supervisor Mode Execution Protection)
3.驱动的IOCtl通信函数(只取关键部分)
我们可以知道,当控制码为0xAA012044时,代表的是32位模式,当控制码为0xAA013044时,代表的是64位模式。此驱动样本为64位,所以我们着重研究64位的控制码0xAA013044即可。
4.漏洞利用函数
我们可以知道,所被调用的函数类型大致为void(*)(PVOID(*)(PUNICODE_STRING))。即该函数的第一个参数为MmGetSystemRoutineAddress的地址。
在这里有一个非常关键的地方,条件判断的第一句话,这里猜想是Capcom为了防止此驱动滥用而设置的暗桩。所以我们构造shellcode的时候需要特别注意。
5.解密Device Name函数
这里看的有点辣眼睛,但是我们不需要理他。因为我们可以直接使用WinObj来得知他创建的设备符号链接名为:Htsysm72FB。有了此符号链接名,我们可以使用CreateFile函数来打开它的驱动设备并且发送控制码来利用了。。
至此,逆向分析到此结束,我们来总结一下:Capcom.sys初衷只是为Capcom自家人提供的一种反作弊的插件,从他的设备名字符串混淆与调用暗桩可以看出,他并不想让别人使用它,但是这并没有什么用。从软件安全角度上去看,此sys没有加壳是被利用的最致命因素之一。攻击者只需要绕过暗桩,即可调用它的驱动。
0x2 利用前的准备工作
基于之前的分析,我们知道了设备名称的符号连接为Htsysm72FB,根据微软的定义。我们需要在他前面加上file:///\\.\。然后使用CreateFile函数来打开他的设备。
接着开始准备shellcode。
第一行,前8个字节是为了绕过暗桩而加入的,前8个字节需要填写利用函数的入口地址(也就是第二行)。
第二行,实现的是CALL $+8处 等价于push第三行(利用函数的地址) && Rip=第四行(POP RAX)
第三行,为我们需要填写的利用函数地址。
最后一行,跳向我们的利用函数地址处。
在该模板内填写相应的内容即可。
最后,开始向Capcom.sys发送控制码来利用此驱动。值得注意的是0xAA013044为64位模式,0xAA012044为32位模式。需要传递的shellcode为之前的模板+8处,以此来绕过暗桩。
0x3 基于Capcom.sys实现无签名加载驱动
无签名加载驱动的话题已经很老套了。
具体分析请参考j00ru的“A quick insight into the Driver Signature Enforcement“这篇文章
以及MJ0011的这篇pdf
http://www.powerofcommunity.net/poc2012/mj0011.pdf
结合两位大牛的文章,我们知道在WIN7上,可以通过修改nt!g_CiEnabled为0来绕过,目的是让操作系统以为你在WINPE模式中。在WIN8及以上此验证转移到了ci!g_CiOptions上。现在我们在WIN10 14393上做这个实验,验证同样在ci!g_CiOptions。但是不同与WIN8的是,WIN10 已经把ci!g_CiOptions加入到了PatchGuard的豪华套餐中。倘若修改不还原或者修改时机恰巧撞遇PatchGuard的检测。那么一瞬间你将进入蓝屏的节奏…关于PatchGuard,读者可自行搜索相关内容,这里不再展述。
1.寻找ci!g_CiOptions(Windows\System32\CI.dll)
可以发现,该变量存在于CipInitialize 函数中,但是此函数未导出,不过庆幸的是。CI.dll给我们导出了CiInitialize函数,改函数最后会调用CipInitialize。
那么我们的思路很简单,首先获取导出函数地址CiInitialize,根据它找到CipInitialize函数,最后根据CipInitialize找到g_CiOptions,然后修改为8即可(由于在WIN10 14393版本上进入测试签名模式时,该值为8)。当然得先保存一份之前的数值,便于还原。
2.注意要点
a.IRQL(中断请求等极)
还记得sys的调用函数吗,它的形式如下:
关闭中断->调用Ring3利用函数->开启中断。
我们注意到,再执行我们的利用函数的过程中,中断始终是处于关闭的状态,也就是说我们的IRQL(中断请求等极)一直处于Dispatch级别,而大多数内核函数调用的要求是IRQL==PASSIVE_LEVEL。这就会造成概率性蓝屏。所以我们必须在我们的利用函数头尾处加入_enable和_disable,来手动的配合它的流程,这样我们就可以避免IRQL的问题了。
b.禁用KeStackAttachProcess(CR3切换)
由于该函数会切换CR3(页目录表基址)。并且最终返回到当前进程的CR3。而我们当前是在Ring0模式。所以显示会发生奇妙的蓝屏。。。
c.利用函数尽量简短
因为在WIN10 14393版本上,经过测试SMEP已被加入PatchGuard豪华套餐中。所以需要尽快的将SMEP恢复,这也就意味着我们的利用函数需要尽量的简短。当然了,时运不济的话,可能就在那一瞬间就被检测到了。
d.配合动态PatchGuard
一般而言,做到以上3点,加载/卸载驱动1-5次之间的蓝屏几率是很小的。但是如果需要完美的话,那就要动态的干PatchGuard了。我们知道,在WIN7以及WIN8已经有牛实现了动态干PatchGuard并已放出,但是在WIN10上目前并没有公开放出源代码。不过国内已经有研究者实现了这一攻击效果。
0x4 题外话
对于在微软新签名机制(具体请使用搜索引擎搜索)下有签名的朋友来说,这并没有什么用。但是如果被坏人利用了,那就比较尴尬了。因为此驱动有合法签名,大多数杀毒软件还没有对其拦截,而当坏人进入内核后,那就可以想干啥就干啥了。
0x5 对各大安全厂商的建议
由于Capcom公司目前已经道歉,并承诺不再使用此类手段的情况来看。安全厂商完全可以把该Capcom.sys列入黑名单中,以此彻底绝杀针对该后门的一切利用。
相关推荐
- 看黑客是如何获取你电脑最高权限的,一定要看
-
在渗透过程中,通过各种方式获取到一枚cmdshell,但是这个shell的权限比较低,无法让我们做我们想要做的一些操作,比如说获取系统密码,获取数据库信息,又或者比如说拿到服务器中的另一个站点的权限,...
- 是50个常用的Visual Basic代码示例:
-
以下是50个常用的VisualBasic代码示例:1.声明变量```vb...
- 电脑系统型号怎么看版本(如何看电脑系统型号)
-
有时候我们会需要进行查看电脑上安装的windows系统版本及系统版本号,但对于不懂电脑知识的小白来说要怎么查看电脑系统版本信息呢?别着急,有小编在接下来,就将查看电脑系统版本的教程来分享给你们,希望对...
- dos命令systeminfo,查看系统启动时间。电脑卡慢,win10怎么了?
-
最近一段时间,有几个反应电脑卡慢的,都是windows10的系统。询问得知每天电脑有关机,打开任务管理器,内存使用量达到百分之九十多,而程序只打开微信、wps、360浏览器。cmd窗口运行命令syst...
- systeminfo命令:全面解析系统信息!
-
你是否曾想过,仅凭一条简单的命令,就能深入了解计算机的"内心世界"?是不是有点不可思议?那么,让我们一起探寻这个神奇的命令,揭开它背后的奥秘吧!它能提供的信息超乎你的想象,从操作系统到硬件配置,再到驱...
- 电脑序列号怎么查询?只需两行命令一键查询
-
当我们的电脑出问题需要保修的时候,需要查询到电脑的型号和序列号才更便于进行下一步的操作,有包装盒的朋友还可以在包装盒上查询,笔记本用户可以在电脑底部标签上查询,没有包装盒和标签破损的用户就无从下手了。...
- 快速显示系统信息:Systeminfo命令详解
-
Systeminfo命令是windows系统中显示系统信息的命令,此命令可以显示出计算机的操作系统的详细配置信息,包括操作系统配置、安全信息、产品ID和硬件属性(如RAM、磁盘空间和网卡)。使用...
- dos命令systeminfo图文教程,显示操作系统配置信息msinfo32
-
大家好,我是老盖,首先感谢观看本文,本篇文章做的有视频,视频讲述的比较详细,也可以看我发布的视频。今天我们学习systeminfo命令,该工具显示本地或远程机器(包括服务包级别)的操作系统配置的信息,...
- 基于uniapp+vue3跨端仿制chatgpt实例uniapp-chatgpt
-
#夏日生活打卡季#...
- 原创新作uniapp+vue3+pinia2高仿微信App聊天
-
前段时间有给大家分享一个flutter3.x桌面端os系统。今天再分享一款最新原创之作uniapp-vue3-wechat聊天实例。uni-vue3-wechat采用...
- UniApp开发的设备适配(uniapp服务器配置)
-
UniApp是一个跨平台开发框架,支持多端应用(如H5、小程序、iOS、Android等)。由于不同设备的屏幕尺寸、分辨率、操作系统等存在差异,设备适配是开发过程中需要重点关注的问题。以下是Uni...
- 如何用服务器搭建自己的个人网站(自己服务器怎么做网站)
-
这篇教程主要是告诉大家如何利用TCP和HTTP协议来完成网站的搭建。首先你需要有C/C++语言基础,且有服务器、客户端概念,如果你了解TCP或者HTTP协议的话,那么将会帮助你更快的学会如何搭建个人网...
- 大话C语言:字符数组(c语言字符数组教学视频)
-
1字符数组概述C语言中没有字符串这种数据类型,可以通过char的数组来替代。数字0(和字符'\0'等价)结尾的char数组就是一个字符串,字符串是一种特殊的char的数组。...
- 源码分享:在pdf上加盖电子签章(pdf怎么加电子签章)
-
在pdf上加盖电子签章,并不是只是加个印章图片,。而是要使用一对密钥中的私钥对文件进行签字。为啥要用私钥呢?很简单,因为公钥是公开的,其他人才可以用公钥为你证明,这个文件是你签的。这就是我们常说的:私...
- C语言wcstombs函数详解:宽字符字符串到多字节的「翻译官」
-
核心定位wcstombs是C语言中用于将宽字符字符串转换为多字节字符串的「翻译官」,它能将宽字符(wchar_t)转换为多字节字符(如UTF-8编码的中文)。就像一位翻译官,它能将一种语言(宽字符...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- wireshark怎么抓包 (75)
- qt sleep (64)
- cs1.6指令代码大全 (55)
- factory-method (60)
- sqlite3_bind_blob (52)
- hibernate update (63)
- c++ base64 (70)
- nc 命令 (52)
- wm_close (51)
- epollin (51)
- sqlca.sqlcode (57)
- lua ipairs (60)
- tv_usec (64)
- 命令行进入文件夹 (53)
- postgresql array (57)
- statfs函数 (57)
- .project文件 (54)
- lua require (56)
- for_each (67)
- c#工厂模式 (57)
- wxsqlite3 (66)
- dmesg -c (58)
- fopen参数 (53)
- tar -zxvf -c (55)
- 速递查询 (52)