مقالات

انگشت نگاری نویسندگان کدهای مخرب

نوشتن بدافزارهای پیشرفته نیازمند همکاری گروه ‌های مجرمانه مختلفی است که تخصص‌ های فنی متنوعی دارند. با این حال، باز هم این امکان وجود دارد که در کدهای مخرب، سرنخ هایی برای افشای هویت واقعی نویسندگان شان باقی بماند.

محققان امنیت سایبری شرکت Check Point از یک فناوری جدید رونمایی کرده اند که با به کارگیری روش‌ های منحصر به فرد، به شناسایی نویسندگان کدهای اکسپلویت کمک می‌کند. محققان امنیتی این شرکت، با کمک این فناوری توانسته اند ۱۶ اکسپلویت که با هدف افزایش سطح دسترسی در سیستم عامل ویندوز طراحی شده اند را به فروشندگان اکسپلویت حمله روز صفر گروه Volodya (که قبلاً به آن BuggiCorp گفته می‌شد) و PlayBit (یا luxor2008) نسبت دهند.

کارشناسان امنیتی Check Point معتقدند بهتر است به جای تمرکز بر کل یک بدافزار و پیدا کردن نمونه ‌های جدید آن، به دنبال ایجاد چشم‌انداز جدیدی بوده و بر توابع مشترکی متمرکز شد که توسط مهاجمان، کدنویسی و طراحی شده‌اند.

 

انگشت نگاری بر اساس ویژگی‌های نویسنده بدافزار

ایده کلی چنین راهکاری به طور خلاصه این است که باید ویژگی های مشترکی که در کدهای مخرب وجود دارد را شناسایی کرده و آنها را به یک کدنویس خاص نسبت داد. مثلاً با ردیابی و بررسی مقادیری که به صورت کدنویسی سخت (Hardcoding) نوشته شده اند و بر اساس نام رشته ها، نحوه سازمان دهی کدها و پیاده سازی توابع می توان ویژگی های مشترکی که برنامه نویس مانند اثر انگشت خود در آنها به جا گذاشته است را استخراج کرد.

بر اساس گفته های شرکت Check Point، تحلیلگران آن بلافاصله پس از اطلاع از وقوع یک حمله پیچیده بر ضد یکی از مشتریان خود، دست به کار شده و پس از انجام بررسی های لازم متوجه شدند که در آن حمله از یک فایل اجرایی ۶۴ بیتی استفاده شده تا از آسیب‌پذیری CVE-2019-0859 برای ارتقای سطح دسترسی استفاده کند.

محققان امنیتی این شرکت با توجه به این که اکسپلویت و بدافزار مورد نظر توسط دو گروه مختلف نوشته شده بودند، از ویژگی‌های آنها برای پیدا کردن حداقل ۱۱ اکسپلویت دیگر که توسط همان برنامه نویس نوشته شده بود، استفاده کردند. بر اساس گفته آنها معمولاً پیدا کردن آسیب ‌پذیری و سوءاستفاده کامل از آن، مستلزم همکاری گروه‌ ها یا افراد مختلفی است که هر کدام شان در زمینه خاصی تخصص دارند. در واقع برای طراحان بدافزارها اهمیتی ندارد که نحوه عملکرد این اکسپلویت ‌ها چگونه است، آنها فقط به دنبال ادغام این کدهای مخرب در بدافزارهای جدید خودشان هستند.

گروه Volodya که به احتمال زیاد ریشه‌ های اوکراینی دارد، پیش از این هم برای فروش اکسپلویت‌ های روز صفر با قیمت زیاد به جاسوسان سایبری و باندهای مجرمانه سایبری شناخته شده بود. مهمترین اکسپلویت به کار برده شده توسط این گروه هکری، LPE است که از قابلیت دستکاری حافظه در NtUserSetWindowLongPtr (آسیب‌پذیری CVE-2016-7255) استفاده می‌کند و گروه‌ های مختلف طراح باج‌افزارها نیز از آن زیاد استفاده می‌کنند.

محققان معتقدند Volodya، نخستین بار اکسپلولیت روز صفر LPE خودش را در سال ۲۰۱۶ میلادی در انجمن مجرمان سایبری Exploit.in معرفی کرده است. در مجموع ۵ اکسپلویت حمله روز صفر و ۶ اکسپلویت حمله روز یک شناسایی شده است که در طول سال‌های ۲۰۱۵ تا ۲۰۱۹ توسط گروه Volodya نوشته شده‌اند. محققان پس از این کشف ها، از تکنیکی مشابه برای شناسایی ۵ اکسپلویت دیگر که توسط گروه PlayBit نوشته شده است، استفاده کردند.

 

مشتریان متعدد

محققان با اشاره به این که کدهای تمام این اکسپویلت ها به صورت مشابهی نوشته شده و هدف آنها ارتقای سطح دسترسی بر روی سیستم های قربانیان است، گفته اند: «هر دو گروه برای رسیدن به اهداف شان، دارای نظم و انسجام زیادی هستند. همچنین هر کدام از آنها از روش های مورد علاقه خودشان برای نوشتن و اجرای اکسپویلت ها استفاده می کنند».

علاوه بر این، به نظر می رسد که گروه Volodya روش خود را طی این سال‌ها عوض کرده و برنامه نویسان آن اکسپلویت‌ ها را به عنوان سورس کد در بدافزار مورد نظرشان قرار داده و سپس آنها را به عنوان ابزاری کاربردی که یک API ویژه را می پذیرد، می فروشند.

بر اساس نتایج تحلیل هایی که Check Point منتشر کرده است تعدادی از مشتریان Volodya، گروه‌های APT، Turla، APT28 و Buhtrap هستند که همگی آنها منصوب به روسیه می باشند. نکته قابل توجه این است که حتی این گروه‌ های سایبری پیشرفته هم به جای طراحی مجدد این اکسپلویت‌ ها، آنها را خریداری می‌کنند. محققان Check Point حدس می زنند که امکان استفاده از اکسپلویت‌ ها به عنوان یک بخش مجزا از بدافزار نیز وجود دارد.

با توجه به میزان تکرار و شدت حملات سایبری، استفاده از امضای برنامه نویسان اکسپلویت ها به عنوان روشی برای ردیابی آنها می تواند اطلاعات ارزشمندی را درباره بازار سیاه اکسپلویت‌ها فراهم کند.

یکی از کارشناسان امنیتی شرکت Check Point گفته است که: «وقتی یک آسیب‌ پذیری را پیدا می کنیم، ابتدا شدت وخامت آن را ارزیابی کرده و سپس آن را به سازمان مربوطه گزارش می‌کنیم تا وصله امنیتی برای آن منتشر شود. چنین کاری با نگرش و رویکرد افرادی که به معامله این اکسپلویت‌ ها می‌پردازند، کاملاً متفاوت است. در واقع کار آنها با پیدا کردن آسیب‌پذیری، تازه شروع می شود. آنها باید برای درآمدزایی و رضایت مشتریان خود، تا جایی که ممکن است از این اکسپلویت ها در محصولات شان استفاده کنند».

متخصصان امنیت سایبری معتقدند استفاده از راهکار ارایه شده توسط شرکت Check Point می تواند به شناسایی بهتر نویسندگان کدهای اکسپلویت و مقابله با بدافزارهای جدید کمک شایان توجهی کند.

 

منبع: thehackernews

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 − 12 =

دکمه بازگشت به بالا