Бесплатно Экспресс-аудит сайта:

03.10.2020

Экспертам удалось найти связь между 16 эксплоитами и их разработчиками

Создание вымогательского ПО для киберпреступной группы требует участия целого ряда специалистов из различных областей. Возникает вопрос, можно ли, изучив вредоносный код, идентифицировать его разработчиков?

Специалисты компании Check Point разработали новый способ идентификации разработчиков вредоносного ПО, основанный на выявлении их уникальных характеристик, т.е. «почерка». С помощью нового способа исследователи смогли связать 16 эксплоитов, позволяющих повысить привилегии на Windows-ПК, с двумя продавцами уязвимостей нулевого дня Volodya (также известный как BuggiCorp) и PlayBit (также известный как luxor2008).

«Вместо того, чтобы сосредоточиться на всей вредоносной программе и отлавливать новые образцы вредоносного ПО или киберпреступников, мы хотели предложить другую точку зрения и решили сосредоточиться на нескольких функциях, написанных разработчиком эксплоита», - пояснили специалисты Check Point Итай Коэн (Itay Cohen) и Эйал Иткин (Eyal Itkin).

Идея заключается в том, чтобы изучить эксплоит на наличие в нем особых артефактов, которые могут указать на его разработчика.

Как пояснили исследователи, их анализ начался в ответ на «сложную атаку» на одного из клиентов Check Point. Эксперты обнаружили эксплоит для уязвимости повышения привилегий CVE-2019-0859 , который, как оказалось, был написан двумя разными командами разработчиков. Исследователи использовали свойства двоичного файла в качестве уникального «почерка» и благодаря ему смогли найти как минимум 11 других эксплойтов, разработанных тем же разработчиком под псевдонимом Volodya.