Escribir malware avanzado para un actor de amenazas requiere diferentes grupos de personas con diversos conocimientos técnicos para ponerlos todos juntos. Pero, ¿puede el código dejar suficientes pistas para revelar a la persona detrás de él?
En este sentido, los investigadores de ciberseguridad detallaron el viernes una nueva metodología para identificar a los autores de exploits que utilizan sus características únicas como huella digital para rastrear otros exploits desarrollados por ellos.
Al implementar esta técnica, los investigadores pudieron vincular 16 explotaciones de escalada de privilegios locales (LPE) de Windows a dos vendedores de día cero «Volodya» (anteriormente llamado «BuggiCorp») y «PlayBit» (o «luxor2008»).
«En lugar de centrarnos en un malware completo y buscar nuevas muestras de la familia o actor de malware, queríamos ofrecer otra perspectiva y decidimos concentrarnos en estas pocas funciones que fueron escritas por un desarrollador de exploits», Itay Cohen y Eyal de Check Point Research. señaló Itkin.
Huellas dactilares de las características de un escritor de exploits
La idea, en pocas palabras, es una huella digital y un exploit para artefactos específicos que pueden vincularlo de manera única a un desarrollador. Podría ser en el uso de valores codificados, nombres de cadenas o incluso en cómo se organiza el código y se implementan ciertas funciones.
Check Point dijo que su análisis comenzó en respuesta a un «ataque complicado» contra uno de sus clientes cuando encontraron un ejecutable de malware de 64 bits que explotaba CVE-2019-0859 para obtener privilegios elevados.
Al darse cuenta del hecho de que el exploit y el malware fueron escritos por dos grupos diferentes de personas, los investigadores usaron las propiedades del binario como una firma de búsqueda única para encontrar al menos otros 11 exploits desarrollados por el mismo desarrollador llamado «Volodya» (o «Volodimir» ).
«Lo más probable es que equipos específicos o personas que se especialicen en un rol en particular lo hagan para encontrar una vulnerabilidad y explotarla de manera confiable. A los desarrolladores de malware, por su parte, realmente no les importa cómo funciona detrás de escena, solo quieren integrar esta [exploits] módulo y listo», dijeron los investigadores.
Curiosamente, Volodya, probablemente de origen ucraniano, se ha relacionado anteriormente con la venta de días cero de Windows a grupos de ciberespionaje y pandillas de crimeware por entre $ 85,000 y $ 200,000.
El principal de ellos fue un exploit LPE que aprovechó una corrupción de memoria en «NtUserSetWindowLongPtr» (CVE-2016-7255), que ha sido ampliamente utilizado por operadores de ransomware como GandCrab, Cerber y Magniber. Ahora se cree que Volodya anunció este día cero de LPE en el foro de delitos cibernéticos Exploit.in en mayo de 2016.
En total, se identificaron cinco exploits de día cero y seis de un día desarrollados por Volodya durante un período de 2015-2019. Posteriormente, se empleó la misma técnica para identificar cinco exploits LPE más de otro creador de exploits conocido como PlayBit.
Una clientela extensa
Al afirmar que las muestras de explotación comparten similitudes a nivel de código para otorgar privilegios de SISTEMA al proceso deseado, los investigadores dijeron que «nuestros dos actores fueron muy consistentes en sus respectivas rutinas de explotación, cada uno se apegó a su forma favorita».
Además, Volodya también parece haber cambiado sus tácticas durante los años intermedios, y el desarrollador pasó de vender los exploits como código fuente incrustable en el malware a una utilidad externa que acepta una API específica.
Además de los grupos de ransomware, se ha descubierto que Volodya atiende a una amplia clientela, incluido el troyano bancario Ursnif y grupos APT como Turla, APT28 y Buhtrap.
«Los clientes de APT, Turla, APT28 y Buhtrap, se atribuyen comúnmente a Rusia y es interesante descubrir que incluso estos grupos avanzados compran exploits en lugar de desarrollarlos internamente», observó Check Point en su análisis. «Este es otro punto que fortalece aún más nuestra hipótesis de que los exploits escritos pueden tratarse como una parte separada y distinta del malware».
Con los ataques cibernéticos expandiéndose en alcance, frecuencia y magnitud, el uso de la firma de código de un desarrollador de exploits como un medio para rastrear a los malos actores podría proporcionar información valiosa sobre el mercado negro de exploits.
“Cuando Check Point encuentra una vulnerabilidad, demostramos su gravedad, la informamos al proveedor apropiado y nos aseguramos de que esté reparada, para que no represente una amenaza”, dijo Cohen. «Sin embargo, para las personas que intercambian estos exploits, es una historia completamente diferente. Para ellos, encontrar la vulnerabilidad es solo el comienzo. Necesitan explotarla de manera confiable en tantas versiones como sea posible, para monetizarla a satisfacción del cliente».
«Esta investigación proporciona información sobre cómo se logra eso y los compradores en este mercado, que a menudo incluyen actores de estados-nación. Creemos que esta metodología de investigación se puede utilizar para identificar autores de exploits adicionales».
