Análise Detalhada Desvenda Sofisticada Cadeia de Ataques do Ring-1.io

Pesquisadores realizaram engenharia reversa do ring-1.io, um conhecido provedor de cheats para jogos, revelando uma sofisticada cadeia de ataques. Esta cadeia substitui binários de boot EFI, injeta código malicioso no Hyper-V via hooks de VMEXIT e emprega redirecionamento de memória baseado em EPT para ocultar o código de sistemas anti-cheat em nível de kernel.

O implante opera em três limites de privilégio — user mode do guest, kernel mode do guest e VMX root — utilizando tabelas de página clonadas, spoofing de CR3 e páginas sombra preenchidas com bytes 0xCE para evadir a detecção. A análise detalha múltiplas estratégias de detecção, como varredura de PML4E sombra, análise de Intel Processor Trace e detecção de anomalias RWX sob HVCI, sublinhando que a aplicação do Secure Boot impediria toda a cadeia de ataque. ️‍️️