研究表明，Windows 内核防御不足以阻止利润丰厚的游戏作弊市场

Josiah02

最新研究显示，黑客通常会绕过 Microsoft Windows 内核保护，在竞争激烈的在线游戏中进行作弊。伯明翰大学的学者对游戏作弊和反作弊系统的工作原理进行了技术分析，并进行了市场调查，在三个月内分析了欧洲和北美 80 个作弊网站。
该项工作在由 Sam Collins、Marius Muench、Alex Poulopoulos 和 Tom Chothia 撰写的论文《反作弊：攻击和客户端防御的有效性》中进行了描述，该论文于 10 月 18 日在盐湖城举行的“在 Man At The End (MATE) 攻击背景下的攻防技术研究”研讨会上进行了展示。
在世界上大多数地方，出售游戏作弊工具并不违法，尽管一些出售作弊工具的网站曾被游戏开发商起诉，理由是作弊工具侵犯了原版游戏的版权。
研究人员发现，游戏作弊工具采用订阅模式销售，一个月的使用费在 10 美元到 240 美元之间。研究人员保守估计，接受调查的 80 个网站每年的总收入在 1280 万美元到 7320 万美元之间，仅在这些网站上购买作弊工具的人数每月就达到 30,000-174,000，这是一个利润丰厚的在线灰色市场。
研究人员调查了在线游戏作弊所使用的技术以及“反作弊”技术所采用的技术。大多数现代反作弊引擎都以最高权限在 Windows内核中与防病毒等应用程序一起运行。
软件只有在经过 Microsoft 批准和签名后才能在 Windows 内核中运行。这使得它比用户通常运行的软件更强大。内核级软件的一个例子是最近失败的 Crowdstrike 系统，它导致互联网大部分瘫痪
虽然微软允许在内核中使用反作弊程序，但研究还显示，作弊软件通常利用 Windows 保护中的弱点将自身“注入”内核并获得更高的权限。许多技术与恶意软件和反病毒领域中常见的技术相似，只是动机不同。
论坛讨论和实际测试表明，作弊软件开发人员通常通过利用易受攻击的第三方驱动程序来绕过 Windows 内核保护措施的弱点，从而使作弊软件在内核中立足。
这样他们就可以绕过反作弊软件设置的保护措施，让用户在 Fortnite、Valorant 和 Apex Legends 等竞技性在线游戏中作弊，所有这些都需要每月支付订阅费。这种内核注入技术之前曾在高级勒索软件攻击中被发现，用于在主要攻击之前禁用反恶意软件保护。
研究人员发现，他们研究的每款游戏都有作弊手段，这意味着没有一种反作弊系统是牢不可破的。该团队开发了一系列测试，用于对每种反作弊解决方案的有效性进行基准测试，发现 Valorant 和 Fornite 游戏的防御能力最强，而 Counter-Strike 2 和 Battlefield 1 的防御能力最差。将这些结果与市场分析进行比较，他们发现反作弊的强度与破解它的作弊工具的价格之间存在很强的相关性。
该项目首席研究员 Sam Collins 表示：“看到如此先进的攻击在这种背景下部署真是令人着迷。它与勒索软件等更传统、更有害的恶意软件形成了有趣的对比。”
合著者 Tom Chothia 教授补充道：“研究作弊和反作弊有助于更好地理解 Windows 上的保护措施。虽然没有一款游戏具有牢不可破的反作弊措施，但作弊者必须付出更多代价才能在防御能力更强的游戏中作弊。游戏反作弊措施在 Windows 内核中起作用，游戏作弊的完全可用性告诉我们，Windows 内核保护并不像许多人想象的那么好。”
Marius Muench 博士进一步指出：“令人惊讶的是，游戏作弊及其防御措施背后有着大规模的经济，尽管有明确定义的攻击者和防御者模型，但这一点却在很大程度上被网络安全界所忽视。”
游戏作弊被视为一种 Man-At-The-End (MATE) 攻击，攻击者可以完全控制系统。与传统的病毒/防病毒情况不同，最终用户是攻击者，他们会帮助攻击成功，而不是试图阻止攻击。这项工作是 MATE 攻击大规模交易和部署的一个重要例子。