Parmak İzinizi Çalmaya Çalışanlara Karşı Yeni Yöntem

Parmak İzinizi Çalmaya Çalışanlara Karşı Yeni Yöntem

 Bir tehdit aktörü için gelişmiş kötü amaçlı yazılımlar yazmak, hepsini bir araya getirmek için çeşitli teknik uzmanlığa sahip farklı grupların kullanılmasını gerektirir. Ancak kod, arkasındaki kişiyi ortaya çıkarmak için yeterli ipucu bırakabilir mi?


Bu amaçla, Cuma günü siber güvenlik araştırmacıları, geliştirdikleri diğer istismarları izlemek için benzersiz özelliklerini parmak izi olarak kullanan yazarları belirlemek için yeni bir metodoloji detaylandırdı.


Bu tekniği uygulayarak, araştırmacılar 16 Windows yerel ayrıcalık yükseltme (LPE) açığını iki sıfır gün satıcısı "Volodya" (daha önce "BuggiCorp") ve "PlayBit" (veya "luxor2008") ile ilişkilendirebildiler.



Check Point Research'ten Itay Cohen ve Eyal , "Tüm bir kötü amaçlı yazılıma odaklanmak ve kötü amaçlı yazılım ailesi veya aktörünün yeni örneklerini aramak yerine, başka bir bakış açısı sunmak istedik ve istismar geliştiricisi tarafından yazılan bu birkaç işleve odaklanmaya karar verdik," Itkin kaydetti.


Kötüye Kullanım Alan Yazarın Özelliklerine Parmak İzi Alma

Özetle, fikir, onu benzersiz bir şekilde bir geliştiriciye bağlayabilen belirli eserler için bir istismarın parmak izini almaktır. Bu, sabit kodlanmış değerleri, dize adlarını veya hatta kodun nasıl organize edildiğini ve belirli işlevlerin nasıl uygulandığını kullanarak olabilir.


Check Point, analizlerinin, yükseltilmiş ayrıcalıklar elde etmek için CVE-2019-0859'dan yararlanan 64 bit kötü amaçlı yürütülebilir dosya ile karşılaştıklarında müşterilerinden birine yönelik "karmaşık saldırıya" yanıt olarak başladığını söyledi .


İstismarın ve kötü amaçlı yazılımın iki farklı insan grubu tarafından yazıldığını fark eden araştırmacılar, "Volodya" (veya "Volodimir" adlı aynı geliştirici tarafından geliştirilen en az 11 diğer istismarı bulmak için ikili dosyanın özelliklerini benzersiz bir avlanma imzası olarak kullandılar. ).


"Bir güvenlik açığını bulmak ve onu güvenilir bir şekilde kullanmak, büyük olasılıkla belirli bir rolde uzmanlaşmış belirli ekipler veya kişiler tarafından yapılacaktır. Kötü amaçlı yazılım geliştiricileri, perde arkasında nasıl çalıştığını gerçekten umursamıyorlar, sadece entegre etmek istiyorlar. Araştırmacılar, bu modülü [istismar eder] ve onunla yapılmalıdır "dedi.


İlginç bir şekilde, muhtemelen Ukrayna kökenli olan Volodya, daha önce Windows sıfır günlerini siber casusluk gruplarına ve suç çetelerine 85.000 ila 200.000 ABD Doları arasında herhangi bir yere satmakla ilişkilendirilmişti .


Bunların başında, GandCrab, Cerber ve Magniber gibi fidye yazılımı operatörleri tarafından yaygın olarak kullanılan " NtUserSetWindowLongPtr " deki (CVE-2016-7255) bellek bozulmasından yararlanan bir LPE istismarıydı . Artık Volodya'nın bu LPE sıfır gününün Mayıs 2016'da Exploit.in siber suç forumunda reklamını yaptığına inanılıyor .


Toplamda, 2015-2019 döneminde Volodya tarafından geliştirilen beş sıfır gün ve altı bir günlük istismar tespit edildi. Daha sonra, aynı teknik, PlayBit ​​olarak bilinen başka bir açıklardan yararlanma yazarından beş tane daha LPE istismarını tanımlamak için kullanıldı.


Kapsamlı Bir Müşteri Grubu

Araştırmacılar, istismar örneklerinin istenen sürece SİSTEM ayrıcalıkları vermek için kod seviyesi benzerlikleri paylaştığını belirterek, "her iki aktörümüz de kendi sömürü rutinlerinde çok tutarlıydı ve her biri en sevdikleri şekilde yapışıyordu.


Dahası, Volodya ayrıca, geliştiricinin açıkları kötü amaçlı yazılımda gömülebilir kaynak kod olarak satmaktan belirli bir API'yi kabul eden harici bir yardımcı programa geçmesiyle, taktiklerini aradan geçen yıllarda değiştirmiş gibi görünüyor.


Fidye yazılımı gruplarının yanı sıra, Volodya'nın Ursnif bankacılık truva atı ve Turla, APT28 ve Buhtrap gibi APT grupları da dahil olmak üzere geniş bir müşteri kitlesine hizmet verdiği görülmüştür.


Check Point'in analizinde, "APT müşterileri Turla, APT28 ve Buhtrap, genel olarak Rusya'ya atfediliyor ve bu gelişmiş grupların bile bunları şirket içinde geliştirmek yerine istismarları satın aldığını görmek ilginç. "Bu, yazılı istismarların kötü amaçlı yazılımın ayrı ve farklı bir parçası olarak ele alınabileceği hipotezimizi daha da güçlendiren başka bir noktadır."


Siber saldırıların kapsamı, sıklığı ve büyüklüğü genişlerken, kötü aktörleri takip etmek için bir istismar geliştiricisinin kod imzasını kullanmak, siyah istismar piyasası hakkında değerli bilgiler sağlayabilir.


"Check Point bir güvenlik açığı bulduğunda, ciddiyetini gösteririz, uygun satıcıya bildiririz ve yamalı olduğundan emin oluruz, böylece bir tehdit oluşturmaz" dedi. "Ancak, bu istismarların ticaretini yapan kişiler için bu tamamen farklı bir hikaye. Onlar için, güvenlik açığını bulmak sadece bir başlangıç. Müşterinin memnun kalacağı şekilde para kazanmak için mümkün olduğunca çok sürümde güvenilir bir şekilde yararlanmaları gerekiyor."


"Bu araştırma, bunun nasıl başarıldığına ve bu pazardaki alıcılara, genellikle ulus-devlet aktörlerini içeren bir fikir veriyor. Bu araştırma metodolojisinin ek istismar yazarlarını belirlemek için kullanılabileceğine inanıyoruz."


Şunları da okuyabilirsiniz



Hiç yorum yok:

Blogger tarafından desteklenmektedir.