Check Point продолжает приводить примеры использования своей новой техники по установлению авторов эксплойтов с помощью изучения их fingerprints.
Мы уже рассказывали про эту методику - первая часть была
здесь.
В этот раз израильтяне решили рассмотреть 1-day эксплойт CVE-2018-8453, предназначенный для повышения локальных привилегий (LPE) в
Windows и используемый операторами ransomware
Sodinokibi,
Maze и др.
Изучив fingerprint эксплойта и сравнив его с другими, исследователи получили 5 однодневных эксплойтов (CVE-2013-3660, CVE-2015-0057, CVE-2015-1701, CVE-2016-7255 и, соответственно, CVE-2018-8453), которые были написаны одним и тем же автором (группой) и направлены на
LPE.
Как установили
Check Point, за всеми этими эксплойтами стоит актор
PlayBit aka
luxor2008. Исследователи выявили ряд особенностей в написании эксплойтов со стороны их автора. Например, в каждом примере существовала маленькая обертка вокруг эксплойта, которая проверяет действительно ли целевой хост подвержен эксплуатируемой уязвимости.
Что же удалось узнать израильтянам в отношении
PlayBit. Ну, во-первых, оказалось, что актор - русскоязычный (не удивительно) и рекламируется на русскоязычных же хакерских форумах. Во-вторых, у
PlayBit есть свой одноименный YouTube-канал с демонстрациями работы эксплойтов и он доступен (!).
PlayBit работает как минимум с 2012 года и в среднем изготавливает на продажу по одному эксплойту в год. Также обнаружились совсем свежие эксплойты от этого автора - CVE-2019-1069 и CVE-2020-0787.
Цены на однодневные эксплойты, само собой, гораздо ниже 0-day и у
PlayBit составляют от 5 до 10 тыс. долларов, причем цена была приблизительно одна и та же из года в год.
В общем, методика fingerprint's эксплойтов вполне рабочая и дает интересные результаты. С помощью нее
Check Point вполне могут каталогизировать создателей эксплойтов, что, без сомнения, сделает картину киберпреступного мира более прозрачной и понятной.
