Разработана система поиска эксплоитов для 0day-уязвимостей на подпольных форумах

Команда исследователей из Университета штата Аризона разработала автоматическую систему для поиска эксплоитов для уязвимостей нулевого дня на подпольных хакерских форумах, до того, как они будут использованы в атаках. Система осуществляет комбинированный анализ сообщений на сайтах в «Темной паутине», специализирующихся на продаже вредоносного ПО.   

В феврале прошлого года компания Microsoft сообщила о критической уязвимости в ряде версий ОС Windows, позволявшей удаленно выполнить произвольный код. О существовании эксплоита для данной уязвимости (троян Dyre) было неизвестно до тех пор, пока он не появился на одной из подпольных торговых площадок в апреле 2015 года. Продавец предлагал троян за 48 биткойнов.

Используя данную информацию, исследователи разработали автоматизированный процесс поиска по ключевым словам, позволяющий получать данные о существующих предложениях по продаже вредоносного кода. Несмотря на некоторые сложности, связанные с грамматикой сообщений (ошибки в написании слов, сокращения и т.д.), за четыре недели специалистам удалось идентифицировать 16 уязвимостей нулевого дня.

В настоящее время исследователи отслеживают 27 торговых площадок и 21 хакерский форум, на которых продается практически все – от наркотических веществ до новейших эксплоитов для уязвимостей в продуктах Adobe. Как отмечается, трудности возникают не только в процессе поиска эксплоитов для уязвимостей нулевого дня, но и получения доступа к самим сайтам, поскольку на многих из них существует жесткая проверка, предназначенная для «отсева» исследователей по безопасности и сотрудников правоохранительных органов.