Método identifica no código o desenvolvedor do malware

Dois pesquisadores da Check Point conseguiram associar 16 malwares do Windows a dois desenvolvedores de malwares
Da Redação
02/10/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

É possível descobrir e eventualmente localizar os desenvolvedores de um malware pela análise do seu código: dois pesquisadores de segurança da Check Point, Itay Cohen e Eyal Itkin, conseguiram rastrear 16 exploits do Windows Kernel Local Privilege Escalation (LPE) até dois desenvolvedores conhecidos como Volodya (ou BuggiCorp) e PlayBit ​​(ou luxor2008).

15 dos exploits que a Check Point conseguiu associar a um desenvolvedor conhecido foram criados entre 2015 e 2019. O método envolve a procura de identificadores de código-fonte incomuns, que podem se tornar marcadores e ser associados a um específico criador de exploits. Podem ser artefatos exclusivos (como strings, valores codificados e caminhos de PDB – program database), hábitos e técnicas de codificação, fragmentos de código e informações de estrutura.

Veja isso
Vulnerabilidades de software de código aberto sobem 130% em 2019
DevOps: Violações se dão através de componentes de código aberto

“Supondo que os autores de exploits trabalhem independentemente e distribuam apenas seu código / módulo binário aos autores de malware, decidimos nos concentrar neles”, informou a Check Point no relatório “Grafologia de um Exploit – Caçando exploits procurando as impressões digitais do autor”.

“Ao analisar os exploits embutidos em amostras de malware, podemos aprender mais sobre os autores de exploits, descobrindo distinções entre eles estudando seus hábitos de codificação e outras impressões digitais deixadas como pistas em sua identidade, ao distribuir seus produtos para suas contrapartes de desenvolvimento de malware.”

Usando regras de busca com base em algumas funções de exploração desenvolvidas para isso, a Check Point foi capaz de rastrear rapidamente dezenas de outras amostras contendo código escrito pelo mesmo desenvolvedor.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest