Теперь исследователи могут найти разработчика определенного эксплойта для Windows, используя новую технику «снятия отпечатков пальцев», специально разработанную для отслеживания активности разработчиков эксплойтов.
Более того, исследователи безопасности Check Point Итай Коэн и Эяль Иткин смогли отследить 16 эксплойтов повышения локальных привилегий (LPE) ядра Windows для двух различных разработчиков эксплойтов, известных как Volodya (или BuggiCorp) и PlayBit (или luxor2008).
15 эксплойтов, успешно сопоставленных Check Point с известным разработчиком эксплойтов, были созданы в период с 2015 по 2019 год, потенциально составляя заметную долю на общем рынке эксплойтов Windows LPE в то время.
Поиск уникальных артефактов
Их метод включает поиск необычных идентификаторов исходного кода, которые могут быть связаны с конкретным средством записи эксплойтов, таких как уникальные артефакты (такие как строки, жестко заданные значения и пути PDB), привычки и методы кодирования, фрагменты кода и информация о структуре.
«Предполагая, что авторы эксплойтов работают независимо и распространяют свой код / двоичный модуль только авторам вредоносных программ, мы решили сосредоточиться на них для изменения», - говорится в отчете Check Point, опубликованном ранее на этой неделе для BleepingComputer.
«Анализируя эксплойты, встроенные в образцы вредоносных программ, мы можем больше узнать об авторах эксплойтов, надеясь провести различие между ними, изучив их привычки кодирования и другие отпечатки пальцев, оставленные в качестве ключей к их личности, при распространении их продуктов среди их коллег, пишущих вредоносное ПО».
Изображение: Check Point
Используя правила поиска, основанные на нескольких ранее неизвестных функциях эксплойтов, извлеченных из одного образца вредоносного ПО, Check Point смогла быстро отследить десятки других образцов, содержащих код, написанный тем же разработчиком.
Сопоставляя образцы уязвимостей, которые они использовали, исследователи смогли отследить автора 10 различных 0-дневных и однодневных эксплойтов Windows LPE, позже раскрытых в публичных отчетах [ 1 , 2 ] как Володя, разработчик эксплойтов, известный своими продажами. 0 дней киберпреступности и российским APT-группам.
«Список клиентов Володи разнообразен и включает авторов банковских троянцев, таких как Ursnif, авторов программ-вымогателей, таких как GandCrab, Cerber и Magniber, и APT-групп, таких как Turla, APT28 и Buhtrap (которые начинали с киберпреступности, а затем перешли в киберпреступность. шпионаж) ", - говорится в сообщении.
«Интересно, что мы видим, что 0-дни Володи с большей вероятностью будут проданы APT-группам, в то время как 1-дневные будут приобретены несколькими группами преступного ПО».
Клиенты Володи ( Check Point )
Тот же метод обнаружения позволил им отследить 5 эксплойтов Windows LPE 1-Day, разработанных PlayBit после того, как они начали с одного образца вредоносного ПО, использованного вымогателем REvil для компрометации систем, уязвимых для CVE-2018-8453.
PlayBit продал обнаруженные Check Point эксплойты бандам вымогателей REvil и Maze , двум печально известным группировкам вымогателей, которые вымогают у своих жертв миллионы долларов.
Полезно для обнаружения недавно разработанных эксплойтов
Методика «снятия отпечатков пальцев» исследователей Check Point может быть использована для других целей, помимо идентификации разработчика эксплойта.
Определив автора эксплойта с помощью техники, аналогичной той, которая используется при отслеживании групп APT и разработчиков вредоносных программ, исследователи также могут:
- Обнаруживать наличие эксплойтов, написанных этими разработчиками эксплойтов для определенных семейств вредоносных программ.
- Обнаружение дополнительных эксплойтов, написанных одним и тем же разработчиком, поскольку они имеют общий «отпечаток пальца». Возможно, обнаружение 0-дней, написанных этими разработчиками.
- Заблокируйте все семейства вредоносных программ, которые купили данный эксплойт у разработчика, который был изучен и отпечатан.
«Основываясь на этих двух успешных тестовых примерах, мы считаем, что эту методологию исследования можно использовать для выявления дополнительных авторов эксплойтов.
«Мы рекомендуем другим исследователям опробовать предложенную нами технику и использовать ее в качестве дополнительного инструмента в своем арсенале», - добавил он.
Более подробную информацию о методологии, использованной в рамках этого исследования, и полную техническую информацию можно найти в отчете Check Point.
Это исследование также будет представлено сегодня на виртуальной конференции Virus BulletinVB2020 localhost в рамках презентации « Графология эксплойта - поиск эксплойтов по отпечаткам пальцев автора ».
Перевод с английского - Google
