Cuando vamos a desarrollar un programa informático lo más común es crear un equipo de personas con experiencia en diferentes ámbitos de la programación. Esto es así para maximizar la efectividad del desarrollo y la eficiencia del equipo. Los atacantes también conocen este tipo de técnicas y las implementan para la creación de software malicioso.

Como ya sabemos, todos tenemos nuestras manías a la hora de escribir código. Estas manías pueden delatar a la persona o personas que están detrás de esas líneas. Partiendo de esta idea, investigadores de seguridad de Check Point Research han desarrollado una nueva metodología para identificar a los creadores de exploits mediante fingerprinting.

Al implementar esta técnica los investigadores pudieron vincular 16 exploits de escalada de privilegios locales para Windows con dos vendedores de 0-days llamados «Volodya» y «PlayBit».

La idea principal, en pocas palabras, es poder sacar una huella digital de un exploit para poder buscar a su desarrollador. Estos datos pueden ser el uso de valores codificados, nombres de cadenas o incluso cómo se organiza el código y se implementan ciertas funciones.

Check Point dijo que su análisis comenzó en respuesta a un «ataque complicado» contra uno de sus clientes cuando se encontró con un ejecutable de malware de 64 bits que explotaba CVE-2019-0859 para llevar a cabo una elevación de privilegios.

Al darse cuenta de que el exploit y el malware fueron escritos por dos grupos diferentes de personas, los investigadores utilizaron las propiedades del binario como una firma única para encontrar al menos otros 11 exploits desarrollados por el mismo desarrollador llamado «Volodya».

Curiosamente, Volodya, probablemente de origen ucraniano, ha estado relacionado con la venta de 0-days para Windows a grupos de ciberespionaje. La venta de estos exploits iba desde los 85,000$ hasta los 200,000$. Posteriormente, se empleó la misma técnica para identificar cinco exploits LPE más de otro desarrollador conocido como «PlayBit».

La implementación de esta técnica ha desvelado que Volodya atiende a una clientela extensa, incluido el troyano bancario Ursnif y grupos APT como Turla, APT28 y Buhtrap.

Según los investigadores de Check Point es interesante descubrir que incluso los grupos más avanzados compran exploits en lugar de desarrollarlos ellos mismos y cuentan que «Este es otro punto que refuerza aún más nuestra hipótesis de que los exploits escritos pueden tratarse como una parte separada y distinta del malware«.

Esta técnica de investigación proporciona información valiosa sobre los compradores y vendedores de exploits en el mercado negro, abre un abanico de posibilidades para relacionar a los distintos equipos de desarrollo de programas maliciosos y nos ayudará a mejorar el entendimiento de sus relaciones comerciales.

Más información :

https://research.checkpoint.com/2020/graphology-of-an-exploit-volodya/

https://thehackernews.com/2020/10/exploit-development.html