Специалисты разработали способ идентификации разработчиков вредоносного ПО на основе их «почерка».
https://www.securitylab.ru/upload/ib...6f6179b402.jpg
Создание вымогательского ПО для киберпреступной группы требует участия целого ряда специалистов из различных областей. Возникает вопрос, можно ли, изучив вредоносный код, идентифицировать его разработчиков?
Специалисты компании Check Point https://research.checkpoint.com/2020...ploit-volodya/ новый способ идентификации разработчиков вредоносного ПО, основанный на выявлении их уникальных характеристик, т.е. «почерка». С помощью нового способа исследователи смогли связать 16 эксплоитов, позволяющих повысить привилегии на Windows-ПК, с двумя продавцами уязвимостей нулевого дня Volodya (также известный как BuggiCorp) и PlayBit (также известный как luxor2008).
«Вместо того, чтобы сосредоточиться на всей вредоносной программе и отлавливать новые образцы вредоносного ПО или киберпреступников, мы хотели предложить другую точку зрения и решили сосредоточиться на нескольких функциях, написанных разработчиком эксплоита», - пояснили специалисты Check Point Итай Коэн (Itay Cohen) и Эйал Иткин (Eyal Itkin).
Идея заключается в том, чтобы изучить эксплоит на наличие в нем особых артефактов, которые могут указать на его разработчика.
Как пояснили исследователи, их анализ начался в ответ на «сложную атаку» на одного из клиентов Check Point. Эксперты обнаружили эксплоит для уязвимости повышения привилегий https://www.securitylab.ru/vulnerability/498697.php , который, как оказалось, был написан двумя разными командами разработчиков. Исследователи использовали свойства двоичного файла в качестве уникального «почерка» и благодаря ему смогли найти как минимум 11 других эксплойтов, разработанных тем же разработчиком под псевдонимом Volodya.