Los investigadores utilizan "huellas digitales" para rastrear a los desarrolladores de exploits de Windows

Imagen: Sebastiaan Stam

Los investigadores ahora pueden encontrar al desarrollador de un exploit de Windows específico utilizando una nueva técnica de "huella digital" diseñada específicamente para rastrear la actividad de los desarrolladores de exploits.

Más específicamente, los investigadores de seguridad de Check Point, Itay Cohen y Eyal Itkin, pudieron rastrear 16 exploits de escalamiento de privilegios locales del kernel de Windows (LPE) hasta dos desarrolladores de exploits conocidos diferentes, Volodya (o BuggiCorp) y PlayBit ​​( o luxor2008).

15 de los exploits que Check Point combinó con éxito con un desarrollador de exploits conocido se crearon entre 2015 y 2019, lo que potencialmente representa una parte significativa del mercado general de explotación de Windows LPE en ese momento.

Índice de contenidos()

    En busca de artefactos únicos

    Su método implica la búsqueda de identificadores de código fuente poco comunes que se pueden asociar con un escritor de exploits específico, como artefactos únicos (como cadenas, valores codificados y rutas PDB), hábitos y técnicas de codificación, fragmentos de código e información del marco. .

    "Suponiendo que los explotadores trabajan de forma independiente y solo distribuyen su código / módulo binario a los autores de malware, decidimos centrarnos en ellos para variar", dijo Check Point en un informe compartido a principios de esta semana. con BleepingComputer.

    "Al analizar los exploits incrustados en las muestras de malware, podemos aprender más sobre los autores de los exploits, con la esperanza de distinguirlos mediante el estudio de sus hábitos de codificación y otras huellas dactilares que dejan como pistas sobre su identidad cuando distribuyen sus productos a sus homólogos que escriben malware". .

    Artefactos de huellas dactilares
    Imagen: Check Point

    Usando reglas de búsqueda basadas en algunas características de exploits nunca antes vistas extraídas de una sola muestra de malware, Check Point pudo rastrear rápidamente docenas de otras muestras que contenían código escrito por el mismo desarrollador.

    Al hacer coincidir las muestras con las vulnerabilidades que explotaron, los investigadores pudieron rastrear al perpetrador de 10 exploits diferentes de LPE de Windows de 0 días y 1 día, posteriormente expuestos por informes públicos [1, 2] como Volodya, un desarrollador de exploits conocido por vender 0 días a grupos rusos de delitos informáticos y APT.

    "La lista de clientes de Volodya es diversa e incluye autores de troyanos bancarios como Ursnif, autores de ransomware como GandCrab, Cerber y Magniber, y grupos APT como Turla, APT28 y Buhtrap (que comenzaron con el ciberdelito y luego pasaron a ciberespionaje) ", se lee en los informes.

    "Curiosamente, es más probable que se vendan 0 días de Volodya a grupos de APT, mientras que varios grupos de crimeware compran 1 día".

    Clientes de Volodya
    Clientes de Volodya (Punto de control)

    La misma técnica de detección les permitió rastrear 5 exploits LPE de Windows de 1 día desarrollados por PlayBit ​​después de arrancar desde una única muestra de malware utilizada por REvil ransomware para comprometer sistemas vulnerables a CVE-2018-8453.

    PlayBit ​​vendió los exploits que Check Point detectó a las bandas de ransomware REvil y Maze, dos infames grupos de ransomware conocidos por extorsionar millones de dólares a sus víctimas.

    Útil para detectar exploits desarrollados recientemente

    La técnica de huellas dactilares de exploits de los investigadores de Check Point se puede utilizar para otros fines además de identificar al desarrollador de un exploit.

    Al identificar al autor de un exploit mediante una técnica similar a la utilizada para monitorear los grupos APT y los desarrolladores de malware, los investigadores también pueden:

    • Detecta la presencia de exploits escritos por estos desarrolladores de exploits en familias de malware específicas.
    • Detecta vulnerabilidades adicionales escritas por el mismo desarrollador ya que comparten una "huella digital" común. Potencialmente, seguimiento de 0 días escritos por estos desarrolladores.
    • Bloquea todas las familias de malware que han comprado un exploit particular de un desarrollador que se investiga y detecta.

    "Esta investigación proporciona una visión poco común de cómo funciona el 'mercado negro de exploits'", dijo Itay Cohen, investigador de malware de Check Point.

    “Sobre la base de estos dos casos de prueba exitosos, creemos que esta metodología de investigación se puede utilizar para identificar explotadores adicionales.

    "Recomendamos que otros investigadores prueben nuestra técnica sugerida y la adopten como una herramienta adicional en su arsenal", agregó.

    Puede encontrar más información sobre la metodología utilizada como parte de esta investigación y los detalles técnicos completos en el informe de Check Point.

    La investigación también se presentará hoy en la conferencia virtual localhost Virus BulletinVB2020 como parte del "Grafología de un exploit: búsqueda de exploits buscando las huellas dactilares del autor"presentación.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir