Entwicklerbrief des Anti-Cheat-Teams

Hallo, PUBG-Spieler,

wie versprochen, wollen wir euch über unsere Anti-Cheat-Lösungen auf dem Laufenden halten. Daher gibt es heute einen kurzen Überblick über unsere Aktivitäten in den letzten Monaten. An der Anti-Cheat-Front tut sich einiges, und obwohl wir nicht bei allen Aspekten ins Detail gehen können, da dies in der Sache hinderlich sein könnte, möchten wir ein paar Kategorien vorstellen, um euch zu zeigen, wo wir stehen und wo wir hin wollen.

  • Verstärkung technischer Maßnahmen
  • Verbesserung der Anti-Cheat-Lösungen
  • Verbesserung bei der Erkennung unerlaubter Programme
  • Behebung von Schwachstellen im Steam-System
  • Verstärkte rechtliche Aktionen

Verstärkung technischer Maßnahmen

Während der Laufzeit von PUBG hat es schon verschiedenste Angriffe durch Cheat-Programme gegeben. Und obwohl wir schon aktiv geworden sind und diverse Sicherheitsmaßnahmen ergriffen haben, um die Effizienz gegen die verschiedenen Angriffstypen zu steigern, wird dies wohl immer ein nie endender Kampf bleiben. Lasst uns zuerst besprechen, wie diese Cheat-Programme im Allgemeinen arbeiten und welche technischen Verstärkungen wir dagegen vorgenommen haben.

  1. 1. Wenn ein Cheat-Programm (exe) und das Spiel (exe) starten, werden die relevanten Daten gleichzeitig ins RAM geladen.
  2. 2. Ein Standardschutz des Spiel-Prozesses oder eine Anti-Cheat-Lösung eines Drittanbieters wird aktiviert.
    1. a. Dies ist eine erste Schutzphase, um andere Prozesse davon abzuhalten, auf diesen Prozess zuzugreifen.
  3. 3. Der Prozess des Cheat-Programms versucht, die Schutztechnologie von Nr. 2 auszuschalten oder zu umgehen und bekommt Zugriff auf den Prozess-Speicher des Spiels.
    1. a. Dadurch, dass er auf den Speicher zugreifen kann, ist er auch in der Lage, Spieldaten zu verändern.
    2. b. Die bekanntesten Cheats, die dafür verwendet werden, sind DKOM, Process Hollowing und SSDT Hooking.
  4. 4. Das Cheat-Programm mit Zugriff auf den Prozess-Speicher des Spiels kann diverse Daten sammeln und modifizieren oder sie kopieren, um illegale Funktionen anzubieten, die vom Spiel nicht angeboten werden. Die repräsentativsten Techniken, die hierfür genutzt werden, sind DLL Injection und Code Injection.
    1. a. DLL Injection: Injiziert die DLL-Datei in einen bestimmten Prozess. Nutzt die LoadLibrary()-API von Windows.
    2. b. Code Injection: Injiziert ausführbaren Code in den Ziel-Prozess. Nutzt CreateRemoteThread() von Windows.
  5. 5. Der erhaltene Speicherplatz kann beliebig verfälscht/verändert werden, um Funktionen anzubieten, die im Spiel nicht vorhanden sind.

DLL Injection ist die älteste und am meisten genutzte Hacking-Methode. Bei der DLL Injection wird eine bestimmte DLL-Datei in den Spiel-Prozess eingebracht. Wird dieser Angriff erfolgreich ausgeführt, gilt dieser DLL-Code wie der eigentliche Code des Spiels als vertrauenswürdig. Als Folge kann der Spiel-Prozess nach den Wünschen des Hackers verändert werden, indem er diese DLL nutzt, um Daten zu bearbeiten und abzugreifen.

Das Blockieren von Angriffen per DLL Injection hatte bei unserem Anti-Cheat-Team schon immer eine hohe Priorität. In der frühen Entwicklungsphase von PUBG gab es auch Kompatibilitätsprobleme, durch die Programme wie Steam und Discord fälschlicherweise als Programme erkannt wurden, die eine DLL Injection versuchen. Teils wurden ihre DLLs auch als Programme mit bösartigem Code eingestuft.

Ein weiterer Angriffstyp, den wir bereits erlebt haben, ist der Kernel-Treiber-Angriff. Der Kernel-Treiber ist eine Datei, die für die Kommunikation zwischen Hardware-Komponenten benötigt wird und einen Prozess nutzt, der mit bestimmten Berechtigungen arbeitet. Da der Kernel-Treiber die meisten Anti-Cheat-Lösungen umgehen kann und mit einer höheren Berechtigung arbeitet als die allgemeinen Nutzer-Rechte, ist er viel schwieriger zu erkennen.

Obwohl das Windows-Betriebssystem unerlaubte Kernel-Treiber intern blockiert, gibt es viele Fälle, in denen unerlaubte Kernel-Treiber dem System als „legal“ untergejubelt werden, indem Sicherheitslücken und illegal gehandelte Zertifikate ausgenutzt werden.

Gegen diese Methode könnten wir uns auf die gleiche Weise zur Wehr setzen wie gegen DLL Injections. Das wäre allerdings nicht sehr effektiv, da im Windows-Betriebssystem ständig neue Lücken gefunden werden und die meisten Anti-Cheat-Lösungen ähnliche Methoden wie die bösartigen Codes nutzen. Dadurch wären Anti-Cheat-Lösungen und bösartiger Code schwierig zu unterscheiden. Das Anti-Cheat-Team schützt derzeit daher mit höchster Priorität den Speicherbereich, der von Hackern missbraucht werden könnte. Dazu kommt Verschlüsselung zum Einsatz, um Angriffen mit Kernel-Treibern effektiv zu begegnen. Das Team gibt auch sein Bestes, um diese Methode auf weitere Bereiche auszudehnen.

Darüber hinaus stärken wir diverse technische Möglichkeiten, indem wir zum Beispiel das Kommunikationsprotokoll zwischen Client und Server verschlüsseln und das Ergebnis einer Übertragung beim Client erneut überprüfen. Damit sind wir den Hacker-Programmen immer einen Schritt voraus.

 

Verbesserung der Anti-Cheat-Lösungen

Zusätzlich zu den oben erläuterten technischen Schutzmaßnahmen, nutzt PUBG auch externe Anti-Cheat-Lösungen, um den Prozess-Bereich des Spiels zu schützen. Wie bereits per Pressemitteilung usw. bekanntgegeben, verwenden wir derzeit zwei Anti-Cheat-Lösungen: BattlEye und Uncheater. Sie schützen den Prozess-Bereich des Spiels und erkennen gleichzeitig verschiedenste Versuche, die Anti-Cheat-Lösung zu umgehen.

Über diese schützenden Anti-Cheat-Lösungen hinaus nutzen wir noch eine Machine-Learning-Technik, welche die Nutzungsmuster unserer Spieler analysiert. Damit haben wir ein System aufgebaut, das ungewöhnliche Spiel-Verhaltensmuster oder Aktionen erkennt, welche die normalen Operationen des Spiels unterbrechen und von Hackern stammen. Für den Aufbau dieses Systems haben wir mit zahlreichen erfahrenen Unternehmen, die Anti-Cheat-Lösungen anbieten, und Spitzeningenieuren zusammengearbeitet. Mit ihrer Hilfe konnten wir die Sicherheit unseres Spiels stärken.   

Wir werden weiterhin mit Unternehmen für Anti-Cheat-Lösungen zusammenarbeiten, um neue Angriffstechniken zu verstehen und Technologien zu entwickeln, die uns vor diesen Angriffen schützen können.

Verbesserung bei der Erkennung unerlaubter Programme

Selbst mit den verschiedenen Schutzmechanismen, die wir eingerichtet haben, ist es nahezu unmöglich, alle unerlaubten Programme zu blockieren. Derzeit versuchen wir eine Erkennung zu entwickeln, die uns sagt, ob solche Programme im Spiel genutzt werden, damit wir sie sofort blockieren können.

Das Anti-Cheat-Team analysiert täglich etwa 3 TB Spiel-Logs, circa 60 Typen von Cheat-Logs und im Schnitt über 10 Millionen Meldungen. Aus diesem Meer an Daten nehmen wir einzelne Nutzer heraus, bei denen ungewöhnliche Verhaltensmuster zu erkennen sind. Nach einer Überprüfung werden diese Konten dann gesperrt. Außerdem aktualisieren wir regelmäßig die Muster unerlaubter Programme, um sicherzustellen, dass die bereits blockierten Programme nicht verändert wurden.

Neben alldem versuchen wir, unsere Methoden zu verbessern, mit denen wir relative Updates an unsere Nutzer verteilen. Ein Beispiel dazu wäre das Feedback-System, das wir mit dem Update vom 23. August eingeführt haben. Seit seiner Implementierung haben wir von unseren Nutzern bereits über 100 Millionen Meldungen erhalten. 83 % der Nutzer, die in einer einzelnen Sitzung mehrfach gemeldet wurden, sind dauerhaft gesperrt worden. Wenn also jemand denken sollte, dass seine Meldung nichts bringt, dann täuscht er sich. Eure Meldungen gehen einen langen Weg in Richtung eines fairen Schlachtfelds.

Im Folgenden seht ihr die wöchentlichen Meldungsdaten vom 23. August bis zum 30. November.

Was die Hardware-Sperrungen betrifft: Mit denen haben wir am 19. November begonnen. Dies ist eine sehr sensible Methode des Sperrens, daher treffen wir zusätzliche Vorkehrungen, um sicherzustellen, dass PC-Cafés und öffentliche PCs nicht ungerechterweise betroffen sind. Wir wählen sehr sorgfältig aus, welche Maschinen gesperrt werden, damit keine unschuldigen PCs gesperrt werden. Wird eine Hardware-Sperre durchgeführt, erscheint auf dem Bildschirm die Meldung, die ihr im Screenshot seht. Auf dieser Hardware kann PUBG dann nicht mehr gespielt werden. Neben genereller Hardware haben wir auch angefangen, Mäuse zu sperren, die Makros nutzen. Unser Plan ist es, diese Bemühungen auf alle Geräte auszuweiten, um eine unfaire Nutzung von Geräten zu unterbinden, die Makros nutzen.

<Hardware-Ban (oben)/Maus-Makro-Ban (unten)>

Derzeit überwachen über 100 Personen jene Stellen, die diese Hacks verkaufen (Websites, Messenger, Discord usw.) – und zwar weltweit und rund um die Uhr. Diverse Communities, in denen Informationen über Hacking-Programme ausgetauscht werden, werden ebenfalls gründlich überwacht, sodass Elemente, die PUBGs Sicherheit bedrohen könnten, vorzeitig erkannt werden. Es kann dann eine schnelle Lösung dazu gefunden werden.

Unser Endziel ist es, Präventivmaßnahmen noch mehr zu verstärken, sodass diese Hacker gar nicht mehr im Spiel aktiv sind.

Kürzlich haben wir auch eine Systemmeldung eingeführt, die Spieler im Spiel in Echtzeit warnt, wenn jemand aus derselben Sitzung gesperrt wurde. Immer, wenn in Echtzeit ein ungewöhnliches Gameplay-Muster erkannt wird oder ein Nutzer mitten im Spiel als Hacker überführt wurde, wird dieses Konto noch während des laufenden Spiels gesperrt. Alle anderen Spieler erhalten dann im Kill-Feed eine entsprechende Meldung.  

 

Behebung von Schwachstellen im Steam-System

Zusätzlich zu den angewandten Methoden im Spiel haben wir unsere Angreifbarkeit auf externen Plattformen verringert. Wie ihr wisst, nutzt PUBG die Steam-Plattform. Es gab Fälle, in denen manche Schwachstellen der Plattform für unerlaubte Vorteile genutzt wurden. Und das haben wir mit Steam zusammen geändert. Die Angreifbarkeit wurde adressiert, sodass Nutzer von Hacking-Programmen per ganz normales Verfahren bestraft werden. Im Folgenden findet ihr ein paar Beispiele für solche Fälle.

  • Nutzung einer Schwachstelle der Familienbibliothek von Steam, wodurch die Beschränkungen von Steam und PUBG umgangen werden konnten.
    • Wenn über ein Konto, das PUBG gekauft hat, das Spiel mit einem Konto geteilt wurde, das PUBG nicht gekauft hat, kann das Konto, mit dem das Spiel geteilt wurde, das Spiel nicht mehr spielen.
  • Das Herumhantieren mit der Spielzeit des Spiels, um Steams Mindestanforderungen für Erstattungen gerecht zu werden, und das Zurückgeben des Spiels, obwohl es schon lange – und somit dann kostenlos – gespielt wurde.
    • Wir haben mit Valve (Steam) zusammengearbeitet, um deren Methode zur Berechnung der PUBG-Spielzeit sowie die Anforderungen für eine Rückgabe der Software zu verbessern, sodass dies nicht mehr möglich ist.
  • Nutzung eines Kontos, das auf dem Liveserver gesperrt wurde, um auf dem Testserver Hacks zu nutzen und somit die Tatsache zu missbrauchen, dass die Beta- und Testserver sich aufgrund der Art und Weise, wie Steam strukturiert ist, in unterschiedlichen Umgebungen befinden.
    • Wir haben das System geändert, sodass Sperrungen nun auf allen Servern bekannt sind. Die Sperrlisten werden nun an die Liveserver, Testserver und anderen Server verteilt, sodass ein Spieler, der auf einem Server gesperrt wurde, auch die anderen Server nicht nutzen kann.

Wir verbessern das System ständig, indem wir eng mit Steam zusammenarbeiten und gegen diesen Missbrauch der Systemlücken vorgehen.

Verstärkte rechtliche Aktionen

Es ist wichtig, Hacking-Programme, die eine faire Spielumgebung verhindern, zu blockieren. Aber jene Personen, die diese Programme entwickeln, bewerben und verkaufen, sollten ebenfalls ein Hauptziel sein. Um die Ausbreitung von Hacking-Programmen zu verhindern, arbeiten wir mit den Strafverfolgungsbehörden und Behörden in Übersee zusammen, um starke legale Maßnahmen sowohl zu Hause als auch in der Ferne ergreifen zu können. Im Folgenden seht ihr eine Auflistung von Ergebnissen rechtlicher Maßnahmen 2018. Für den chinesischen Raum ist dies ein Ergebnis der engen Zusammenarbeit mit Tencent.

  • Januar 2018: 41 Personen in Lianyungang, China, verhaftet
  • Februar 2018: 3 Personen in Huai’an, China, verhaftet
  • Februar 2018: 11 Personen in Xiangyang, China, verhaftet
  • April 2018: 141 Personen in Nanjing, China, verhaftet
  • April 2018: 1 Person in Huai’an, China, verhaftet
  • August 2018: 6 Personen vom Daejeon Metropolitan Police Agency in Korea verhaftet
  • September 2018: 1 Personen in Wenzhou, China, verhaftet
  • Oktober 2018: 3 Personen in Tangshan, China, verhaftet
  • Oktober 2018: 34 Personen in Wenzhou, China, verhaftet
  • Oktober 2018: 11 Personen von der Yangcheon Police Station in Korea verhaftet

Zusätzlich zu den oben aufgelisteten Ergebnissen untersuchen wir derzeit gemeinsam mit der Korean National Police Agency, mit Anwaltsunternehmen und Schutzagenturen für das Urheberrecht diverse Verkäufe von Hacking-Programmen. Gleichzeitig versuchen wir, die Entwickler des Programms selbst aufzuspüren. Wir halten euch auf dem Laufenden, wenn neue Untersuchungsergebnisse vorliegen.   

Schlussbemerkung

In jeder Runde PUBG versuchen 100 Nutzer sich gegen bereits gegen geringe Wahrscheinlichkeiten durchzusetzen. Uns ist bewusst, dass bereits eine einzige Person, die unfair spielt, vielen anderen Spielern den Spaß verderben kann. Daher müssen wir einen viel höheren Sicherheitslevel anstreben als andere Spiele.

Dieser Aufgabe werden wir uns weiterhin widmen. Worüber wir hier heute berichtet haben, das sind nur die ersten Schritte in diesem Kampf. Aber wir werden nicht aufhören, neue Anti-Cheat-Technologien zu erforschen und zu entwickeln, um so viele Hacking-Programme und ihre Entwickler wie möglich zu eliminieren.

Wir bedanken uns für Eure Geduld und Euer Vertrauen. Wir werden alles tun, um euch dafür zu belohnen. Vielen Dank für Eure Unterstützung und Meldungen.

Das PUBG Anti-Cheat-Team

Discuss this article
Share this article