Эксперты вычислили автора популярных эксплоитов по почерку

Эксперты вычислили автора популярных эксплоитов по почерку

В общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.

image

Огромную роль в кибератаках играют эксплоиты – они позволяют хакерам осуществлять действия, которые в ином случае были бы невозможны. Однако, поскольку эксплоиты используются во многих семействах вредоносного ПО, вся «слава» достается создателям вредоносных программ, а разработчики эксплоитов остаются в тени. В связи с этим специалисты компании Check Point Эяль Иткин (Eyal Itkin) и Итай Коэн (Itay Cohen) решили провести исследование, посвященное авторам эксплоитов.

Исследователи разработали методологию и техники отслеживания разработчиков по «почерку», то есть, по оставляемым ими цифровым отпечаткам (так называемый фингерпринтинг). С ее помощью им уже удалось найти связь между 16 эксплоитами и их разработчиками, известными как Volodya (он же BuggiCorp) и PlayBit (он же luxor2008). Об уникальных отпечатках, позволивших им вычислить Volodya, исследователи рассказали еще в начале текущего месяца. Теперь же они опубликовали подробности о том, как им удалось выйти на его коллегу PlayBit.

Специалисты заинтересовались PlayBit после того, как наткнулись на публикацию в блоге «Лаборатории Касперского» о том, что известная киберпреступная группировка Sodinokibi (другое название REvil) вооружилась эксплоитом для уязвимости CVE-2018-8453 в Windows. Поскольку изначально эксплоит использовался группировкой FruityArmor, исследователи пришли к выводу, что его разработчиком является кто-то третий.

Как показал анализ эксплоита, в нем использовался совсем другой шаблон, чем в эксплоитах авторства Volodya, а значит, Volodya не является его создателем. Поскольку разработчик реализовал в своем творении новые функции, это дало исследователям дополнительный набор артефактов для анализа его «почерка». Собрав воедино все артефакты, специалисты создали цифровой отпечаток и отправились на охоту за другими созданными разработчиком эксплоитами.

В общей сложности исследователи обнаружили пять эксплоитов авторства PlayBit. Все они предназначены для уязвимостей нулевого дня в Windows, позволяющих атакующему повышать свои привилегии на системе жертвы. Речь идет о CVE-2013-3660 (используется вредоносными программами Dyre и Ramnit), CVE-2015-0057 (Dyre и Evotob), CVE-2015-1701 (Locky), CVE-2016-7255 (LockCrypt) и CVE-2018-8453 (REvil/Sodinokibi, Maze и Neshta).

Проанализировав эксплоиты, исследователи обнаружили в них общие черты. К примеру, как и Volodya, PlayBit использовал для их создания один простой шаблон. Кроме того, он «обернул» свои эксплоиты в оболочку, позволяющую им проверять возможность эксплуатации уязвимостей на отдельно взятом компьютере, и использовал обфускацию для сокрытия полезных функций эксплоитов. В отличие от эксплоитов Volodya, творения PlayBit пытаются узнать об атакуемой системе как можно больше – точную версию ОС, номер сборки Windows и пакет обновлений, а также определяют, является ли компьютер сервером.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.