为威胁行为者编写高级恶意软件需要具有不同技术专长的不同人员才能将他们整合在一起。但是代码能否留下足够的线索来揭示背后的人?
为此,网络安全研究人员在周五详细介绍了一种新方法,以识别利用其独特特征作为追踪其开发的其他漏洞的指纹的漏洞作者。
通过部署该技术,研究人员能够将16个Windows本地特权提升(LPE)漏洞与两个零日销售者“ Volodya”(以前称为“ BuggiCorp”)和“ PlayBit”(或“ luxor2008”)链接起来。
Check Point Research的Itay Cohen和Eyal表示: “我们不是专注于整个恶意软件,而是寻找恶意软件家族或参与者的新样本,而是希望提供另一种观点,并决定专注于漏洞利用开发人员编写的这几个功能。” Itkin指出。
指纹识别漏洞利用者的特征
简而言之,该想法是对特定工件的漏洞利用进行指纹识别,以将其唯一地绑定到开发人员。可能是使用硬编码的值,字符串名称,甚至是如何组织代码和实现某些功能。
Check Point表示,他们的分析是针对其客户之一遇到的“复杂攻击”而开始的,当时他们遇到了一个利用CVE-2019-0859获得更高特权的64位恶意软件可执行文件。
研究人员注意到该漏洞利用程序和恶意软件是由两组不同的人编写的,研究人员将二进制文件的属性用作唯一的狩猎签名,以发现同一开发人员“ Volodya”(或“ Volodimir”)开发的至少11种其他漏洞利用程序)。
“发现漏洞并可靠地利用它,很可能将由专门从事特定角色的特定团队或个人来完成。对于恶意软件开发人员而言,他们并不真正在乎它在后台如何工作,他们只想集成这个[漏洞利用]模块并完成它。”研究人员说。
有趣的是,Volodya(可能是乌克兰血统)以前曾与向网络间谍团体和犯罪软件帮派出售Windows 0天的时间相关,价格在85,000美元至200,000美元之间。
其中最主要的是一种LPE利用,利用了“ NtUserSetWindowLongPtr ”(CVE-2016-7255)中的内存损坏,该漏洞已被GandCrab,Cerber和Magniber等勒索软件运营商广泛使用。现在,据信Volodya于2016年5月在Exploit.in网络犯罪论坛上对该LPE零日广告做了广告。
Volodya在2015-2019年期间共开发了五种零日漏洞和六种一日漏洞。随后,该技术被用于从另一位称为PlayBit的漏洞利用编写者中识别出另外五种LPE漏洞利用。
广泛的客户群
研究人员说,利用代码示例共享代码级别的相似性以将SYSTEM特权授予所需的过程,研究人员说:“我们的两个参与者在各自的利用程序中都非常一致,每个人都遵循自己喜欢的方式。”
此外,Volodya在这几年间似乎也改变了自己的策略,开发人员从出售作为可嵌入源代码的漏洞利用恶意软件转移到了接受特定API的外部实用程序。
除了勒索软件组外,还发现Volodya还可以满足广泛的客户群,包括Ursnif银行木马以及Tura,APT28和Buhtrap等APT组。
Check Point在分析中观察到:“ APT的客户,Turla,APT28和Buhtrap,通常都归功于俄罗斯,而且有趣的是,即使是这些高级团体也购买了漏洞利用程序,而不是内部开发。” “这是另一点,进一步强化了我们的假设,即书面漏洞利用可以被视为恶意软件的独立部分。”
随着网络攻击的范围,频率和规模不断扩大,利用漏洞利用开发人员的代码签名作为跟踪不良行为者的手段可以为深入了解黑色漏洞利用市场提供有价值的见解。
科恩说:“当Check Point发现漏洞时,我们会证明其严重性,并向适当的供应商报告,并确保已对其进行了修补,因此不会造成威胁。” “但是,对于交易这些漏洞的个人而言,情况就完全不同了。对于他们来说,发现漏洞仅仅是开始。他们需要可靠地在尽可能多的版本上利用此漏洞,以便将其货币化,从而使客户满意。”
“这项研究提供了关于如何实现这一目标以及市场中的购买者的见识,这些购买者通常包括民族国家行为者。我们相信,这种研究方法可以用来确定其他漏洞利用者。”
