Экспертам далось найти связь между 16 эксплоитами и их разработчиками

Пт 2 Октябрь 2020 14:31

Создание вымогательского ПО для киберпреступной группы требует участия целого ряда специалистов из различных областей. Возникает вопрос, можно ли, изучив вредоносный код, идентифицировать его разработчиков?

Специалисты компании Check Point разработали новый способ идентификации разработчиков вредоносного ПО, основанный на выявлении их уникальных характеристик, т.е. «почерка». С помощью нового способа исследователи смогли связать 16 эксплоитов, позволяющих повысить привилегии на Windows-ПК, с двумя продавцами уязвимостей нулевого дня Volodya (также известный как BuggiCorp) и PlayBit (также известный как luxor2008).

«Вместо того, чтобы сосредоточиться на всей вредоносной программе и отлавливать новые образцы вредоносного ПО или киберпреступников, мы хотели предложить другую точку зрения и решили сосредоточиться на нескольких функциях, написанных разработчиком эксплоита», - пояснили специалисты Check Point Итай Коэн (Itay Cohen) и Эйал Иткин (Eyal Itkin).

Идея заключается в том, чтобы изучить эксплоит на наличие в нем особых артефактов, которые могут указать на его разработчика.

Как пояснили исследователи, их анализ начался в ответ на «сложную атаку» на одного из клиентов Check Point. Эксперты обнаружили эксплоит для уязвимости повышения привилегий CVE-2019-0859 , который, как оказалось, был написан двумя разными командами разработчиков. Исследователи использовали свойства двоичного файла в качестве уникального «почерка» и благодаря ему смогли найти как минимум 11 других эксплойтов, разработанных тем же разработчиком под псевдонимом Volodya.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 217 дней 9 часов 46 минут
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.