Пираты победили Denuvo: игры теперь взламывают в день релиза, но разработчик обещает новые меры

В последнее время игровое и пиратское сообщество пребывает в состоянии эйфории из-за обнаружения нового метода обхода знаменитой антипиратской защиты Denuvo. Этот прорыв не только открыл доступ к взлому уже вышедших игр, но и фактически стандартизировал выпуск репаков самых свежих проектов буквально в день их официального релиза.

Современные многоуровневые решения Denuvo долгое время считались золотым стандартом в области DRM-защиты для компьютерных игр, успешно противостоя попыткам взлома. Поэтому появление универсального способа их обхода создаёт серьёзные проблемы как для разработчиков из Denuvo Software Solutions GmbH, так и для материнской компании Irdeto, чей ключевой источник дохода теперь оказался под вопросом.

Через специализированный новостной портал TorrentFreak компания Irdeto сделала официальное заявление. В нём утверждается, что специалисты уже активно работают над разработкой контрмер. Представители компании также подчеркнули, что усиление защиты не скажется на производительности игр и не затронет работу операционной системы.

Упоминание производительности — это прямой намёк на прошлый громкий скандал. Тогда независимые тесты показали, что защита Denuvo вызывает повышенную нагрузку на центральный процессор, что приводило к просадкам частоты кадров и рывкам в самых разных играх на различных конфигурациях ПК. Как отмечало издание Toms Hardware, Denuvo категорически отвергала эти обвинения и даже пыталась публично высмеивать их, особенно на фоне того, что взломанные версии игр часто работали ощутимо стабильнее и быстрее официальных, защищённых DRM.

Irdeto также традиционно предупреждает, что установка игр с обойдённой защитой несёт риски для безопасности. На этот раз у компании есть для этого веские основания. Новый метод обхода использует технологию гипервизора: игра запускается внутри скрытого низкоуровневого слоя, который работает ниже операционной системы и подменяет её ответы на проверки DRM. Для работы даже последней версии этого метода от пользователя требуется отключить на своём компьютере несколько критически важных функций безопасности:

• Безопасность на основе виртуализации (VBS): уровень, который изолирует ядро Windows от процессов безопасности, работающих с более высокими привилегиями.
• Защита учётных данных: компонент VBS, который хранит данные для входа в систему в специальном изолированном контейнере, недоступном для остальной части ОС.
• Проверку цифровых подписей драйверов: механизм, гарантирующий, что все драйверы в системе имеют цифровую подпись от Microsoft или доверенного разработчика, что блокирует установку непроверенного кода на системном уровне.
• Изоляцию ядра и целостность памяти (HVCI): функция, которая не только предотвращает запуск неподписанного кода на уровне ядра, но и защищает существующие драйверы от модификации и вмешательства извне.

Кроме того, метод требует установки гипервизора, созданного сообществом, с последующим запуском поверх него Windows. Этот гипервизор эмулирует корректные ответы для проверок Denuvo и работает с привилегиями уровня Ring -1 — то есть ниже ядра операционной системы. Это даёт ему практически полный и невидимый для ОС доступ ко всему аппаратному и программному обеспечению компьютера.

Отключение даже одной из перечисленных функций безопасности крайне не рекомендуется, а их комплексная деактивация представляет собой прямой риск. После отключения этих цифровых «контрольно-пропускных пунктов» любое вредоносное приложение, попавшее на компьютер, получает неограниченную свободу действий для захвата контроля над системой. Обнаружить такую активность или устранить её последствия в этих условиях будет чрезвычайно сложно, и большинство антивирусных пакетов с этой задачей, скорее всего, не справятся.

Отдельную тревогу вызывает тот факт, что даже при отсутствии злого умысла со стороны создателей гипервизора (если абстрагироваться от самого факта пиратства) никто не может гарантировать отсутствия в нём собственных уязвимостей. Эксплуатация таких уязвимостей будет происходить на уровне доступа, превышающем привилегии самой операционной системы, что делает потенциальную атаку максимально разрушительной.