Check Point identifiziert Fingerabdrücke von Cyber-Kriminellen
7. Oktober 2020Den Sicherheitsforschern von Check Point gelang es, die virtuelle Handschrift zweier bekannter Hacker zu entschlüsseln. Dadurch lassen sich Windows-Exploits nicht nur den Übeltätern zuordnen, sondern auch besser verhindern.
Die Sicherheitsforscher von Check Point Softre Technologies Ltd. vermelden einen weiteren Meilenstein im Kampf gegen Windows-Exploits und Zero-Day-Attacken: Es gelang den Experten, die digitalen Merkmale – sozusagen die Fingerabdrücke im Code – zweier bekannter Übeltäter zu identifizieren.
Bisher war es üblich, Angriffe auf die generelle Malware-Familie zurückzuführen. Allerdings führt das oft in eine Sackgasse, da bei solchen Angriffen unterschiedliche Methoden von unterschiedlichen Autoren eingesetzt werden können. Nun der Durchbruch. Detaillierte Analysen erbrachten die virtuellen ‚Fingerabdrücke‘ zweier Exploit-Entwickler, die sich auf das Aufdecken und Ausnutzen von Windows-Schwachstellen spezialisiert haben.
Die Sicherheitsforscher von Check Point begannen mit der Auswertung eines der aktivsten und am weitesten verbreiteten Exploit-Entwickler für den Windows-Kernel, namens Volodya, früher bekannt als BuggiCorp. Volodya verkauft Exploits sowohl für Day-One-Sicherheitslücken als auch für die lukrativeren Zero-Day-Sicherheitslücken.
Check Point Research fand heraus, dass Volodya mindestens seit 2015 aktiv ist und konnte elf verschiedene Exploits für den Windows-Kernel aufspüren. Zu Volodyas Kunden gehört beliebte Crimeware, wie Dreambot und Magniber, sowie nationalstaatliche Malware-Familien, wie Turla und APT28, die häufig mit Russland in Verbindung gebracht werden.
Der zweite Exploit-Entwickler und -Verkäufer, den die Forscher von Check Point analysiert haben, heißt PlayBitoder luxor2008. PlayBit ist spezialisiert auf Day-One-Schwachstellen im Windows-Kernel. Die Forscher von Check Point konnten fünf verschiedene Exploits finden, die von PlayBit entwickelt und an prominente Crimeware-Gruppen, wie REvil und Maze verkauft wurden. Beide sind als berüchtigte Ransomware bekannt. Dank der intensiven Nachforschung und Identifikation der Fingerabdrücke der Exploit-Entwickler ist Check Point nun in der Lage:
- das Vorhandensein von Exploits zu erkennen, die von diesen Entwicklern in bestimmten Malware-Familien geschrieben wurden,
- weitere Exploits zu entdecken, die von demselben Entwickler geschrieben wurden, da sie einen gemeinsamen ‚Fingerabdruck‘ haben. So lassen sich potentiell auch Zero-Day-Exploits dieser Entwickler identifizieren sowie
- alle Malware-Familien zu blockieren, die einen Exploit von einem der Entwickler gekauft haben. (rhh)