Ricercatori utilizzano gli exploit di Fingerprint
Buongiorno cari lettori, oggi parleremo di di un gruppo che sta sftruttando il fingerprint per creare dei malware
La scrittura di malware avanzato per un attore di minacce richiede diversi gruppi di persone con diverse competenze tecniche per metterli tutti insieme. Ma il codice può lasciare abbastanza indizi da rivelare la persona dietro di esso?
A tal fine, venerdì i ricercatori della sicurezza informatica hanno illustrato una nuova metodologia per identificare gli autori di exploit che utilizzano le loro caratteristiche uniche come impronta digitale per rintracciare altri exploit da loro sviluppati.
Utilizzando questa tecnica, i ricercatori sono stati in grado di collegare 16 exploit di Windows local privilege escalation (LPE) a due venditori zero-day "Volodya" (precedentemente chiamato "BuggiCorp") e "PlayBit" (o "luxor2008").
"Invece di concentrarci su un intero malware e cercare nuovi campioni della famiglia o dell'attore del malware, abbiamo voluto offrire un'altra prospettiva e abbiamo deciso di concentrarci su queste poche funzioni che sono state scritte da uno sviluppatore di exploit", hanno osservato Itay Cohen e Eyal Itkin di Check Point Research.
Le caratteristiche di uno sviluppatore di exploit
L'idea, in poche parole, è quella di prendere le impronte digitali di un exploit per specifici artefatti che possano legarlo in modo univoco a uno sviluppatore. Potrebbe essere nell'uso di valori hard-coded, nomi di stringhe, o anche nel modo in cui il codice è organizzato e alcune funzioni sono implementate.
Check Point ha dichiarato che la loro analisi è iniziata in risposta a un "attacco complicato" contro uno dei suoi clienti quando si sono imbattuti in un eseguibile di malware a 64 bit che sfruttava CVE-2019-0859 per ottenere privilegi elevati.
Notando che l'exploit e il malware sono stati scritti da due diversi gruppi di persone, i ricercatori hanno utilizzato le proprietà del binario come firma di caccia unica per trovare almeno altri 11 exploit sviluppati dallo stesso sviluppatore denominato "Volodya" (o "Volodimir").
malware-1
"Trovare una vulnerabilità, e sfruttarla in modo affidabile, sarà molto probabilmente fatto da team specifici o da individui specializzati in un particolare ruolo. Gli sviluppatori di malware, dal canto loro, non si preoccupano davvero di come funziona dietro le quinte, vogliono solo integrare questo modulo [sfrutta] e farne uso", hanno detto i ricercatori.
È interessante notare che Volodya - probabilmente di origine ucraina - è stato precedentemente collegato alla vendita di Windows zero-days a gruppi di spionaggio informatico e bande di criminali per un valore compreso tra gli 85.000 e i 200.000 dollari.
Il principale tra questi è stato un exploit LPE che ha sfruttato una corruzione della memoria in "NtUserSetWindowLongPtr" (CVE-2016-7255), che è stato ampiamente utilizzato da operatori ransomware come GandCrab, Cerber e Magniber. Si ritiene ora che Volodya abbia pubblicizzato questo LPE zero-day sul forum Exploit.in cybercrime nel maggio 2016.
In tutto, sono stati identificati cinque exploit zero-day e sei one-day sviluppati da Volodya nel periodo 2015-2019. Successivamente, la stessa tecnica è stata impiegata per identificare altri cinque exploit LPE da un altro autore di exploit noto come PlayBit.
Una vasta clientela
Dichiarando le similitudini dei campioni di exploit a livello di codice condiviso per concedere i privilegi di SISTEMA al processo desiderato, i ricercatori hanno detto, "entrambi i nostri attori sono stati molto coerenti nelle loro rispettive routine di sfruttamento, ognuno dei quali si è attenuto al proprio modo preferito".
Inoltre, Volodya sembra aver cambiato tattica negli anni successivi, con lo sviluppatore che è passato dalla vendita degli exploit come codice sorgente incorporabile nel malware a un'utilità esterna che accetta una specifica API.
Oltre ai gruppi ransomware, Volodya è stato trovato per soddisfare una vasta clientela, tra cui il trojan bancario Ursnif, e gruppi APT come Turla, APT28 e Buhtrap.
malware
"I clienti APT, Turla, APT28 e Buhtrap, sono tutti comunemente attribuiti alla Russia ed è interessante scoprire che anche questi gruppi avanzati acquistano exploit invece di svilupparli internamente", osserva Check Point nella sua analisi. "Questo è un altro punto che rafforza ulteriormente la nostra ipotesi che gli exploit scritti possano essere trattati come una parte separata e distinta del malware".
Con l'espansione degli attacchi cibernetici in termini di portata, frequenza e ampiezza, l'utilizzo della firma in codice di uno sviluppatore di exploit come mezzo per rintracciare i cattivi attori potrebbe fornire una preziosa visione del mercato nero degli exploit.
"Quando Check Point trova una vulnerabilità, ne dimostriamo la gravità, la segnaliamo al fornitore appropriato e ci assicuriamo che sia rattoppata, in modo che non rappresenti una minaccia", ha detto Cohen. "Tuttavia, per gli individui che commerciano questi exploit, è una storia completamente diversa. Per loro, trovare la vulnerabilità è solo l'inizio. Hanno bisogno di sfruttarla in modo affidabile su quante più versioni possibili, per poterla monetizzare con la soddisfazione del cliente".
"Questa ricerca fornisce una visione di come ciò viene realizzato, e gli acquirenti in questo mercato, che spesso includono attori dello stato nazionale. Crediamo che questa metodologia di ricerca possa essere utilizzata per identificare ulteriori autori di exploit".
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
