É possível descobrir e eventualmente localizar os desenvolvedores de um malware pela análise do seu código: dois pesquisadores de segurança da Check Point, Itay Cohen e Eyal Itkin, conseguiram rastrear 16 exploits do Windows Kernel Local Privilege Escalation (LPE) até dois desenvolvedores conhecidos como Volodya (ou BuggiCorp) e PlayBit (ou luxor2008).
15 dos exploits que a Check Point conseguiu associar a um desenvolvedor conhecido foram criados entre 2015 e 2019. O método envolve a procura de identificadores de código-fonte incomuns, que podem se tornar marcadores e ser associados a um específico criador de exploits. Podem ser artefatos exclusivos (como strings, valores codificados e caminhos de PDB – program database), hábitos e técnicas de codificação, fragmentos de código e informações de estrutura.
Veja isso
Vulnerabilidades de software de código aberto sobem 130% em 2019
DevOps: Violações se dão através de componentes de código aberto
“Supondo que os autores de exploits trabalhem independentemente e distribuam apenas seu código / módulo binário aos autores de malware, decidimos nos concentrar neles”, informou a Check Point no relatório “Grafologia de um Exploit – Caçando exploits procurando as impressões digitais do autor”.
“Ao analisar os exploits embutidos em amostras de malware, podemos aprender mais sobre os autores de exploits, descobrindo distinções entre eles estudando seus hábitos de codificação e outras impressões digitais deixadas como pistas em sua identidade, ao distribuir seus produtos para suas contrapartes de desenvolvimento de malware.”
Usando regras de busca com base em algumas funções de exploração desenvolvidas para isso, a Check Point foi capaz de rastrear rapidamente dezenas de outras amostras contendo código escrito pelo mesmo desenvolvedor.
Com agências internacionais