Специалисты разработали способ идентификации разработчиков вредоносного ПО на основе их «почерка».
Создание вымогательского ПО для киберпреступной группы требует участия целого ряда специалистов из различных областей. Возникает вопрос, можно ли, изучив вредоносный код, идентифицировать его разработчиков?
Специалисты компании Check Point
https://research.checkpoint.com/2020...ploit-volodya/ новый способ идентификации разработчиков вредоносного ПО, основанный на выявлении их уникальных характеристик, т.е. «почерка». С помощью нового способа исследователи смогли связать 16 эксплоитов, позволяющих повысить привилегии на Windows-ПК, с двумя продавцами уязвимостей нулевого дня Volodya (также известный как BuggiCorp) и PlayBit (также известный как luxor2008).
«Вместо того, чтобы сосредоточиться на всей вредоносной программе и отлавливать новые образцы вредоносного ПО или киберпреступников, мы хотели предложить другую точку зрения и решили сосредоточиться на нескольких функциях, написанных разработчиком эксплоита», - пояснили специалисты Check Point Итай Коэн (Itay Cohen) и Эйал Иткин (Eyal Itkin).
Идея заключается в том, чтобы изучить эксплоит на наличие в нем особых артефактов, которые могут указать на его разработчика.
Как пояснили исследователи, их анализ начался в ответ на «сложную атаку» на одного из клиентов Check Point. Эксперты обнаружили эксплоит для уязвимости повышения привилегий
https://www.securitylab.ru/vulnerability/498697.php , который, как оказалось, был написан двумя разными командами разработчиков. Исследователи использовали свойства двоичного файла в качестве уникального «почерка» и благодаря ему смогли найти как минимум 11 других эксплойтов, разработанных тем же разработчиком под псевдонимом Volodya.
03-17-2025, 02:24 AM
Threaded Mode