Nghiên cứu mới giúp nhận diện các nhà phát triển mã độc khai thác – kẻ tiếp tay cho một loạt nhóm tin tặc nguy hiểm

Để viết được một mã độc tiên tiến đòi hỏi sự phối hợp của nhiều cá nhân với những chuyên môn kỹ thuật khác nhau. Nhưng liệu với manh mối duy nhất là những dòng code thì có đủ để tìm ra kẻ đứng sau nó hay không?



Thứ sáu tuần trước, các nhà nghiên cứu an ninh mạng của Check Point đã trình bày một phương pháp luận mới giúp xác định những kẻ phát triển mã khai thác bằng cách sử dụng các dấu hiệu đặc biệt của riêng chúng và tìm ra các mã khai thác khác mà chúng đã triển khai.



Bằng cách triển khai kỹ thuật này, các nhà nghiên cứu đã có thể mối liên quan mật thiết giữa 16 mã khai thác leo thang đặc quyền cục bộ (LPE – local privilege escalation) trên hệ điều hành Windows, với hai cá nhân kinh doanh mã khai thác zero-day là “Volodya” (từng được gọi là “BuggiCorp”) và “PlayBit” (còn có biệt danh “luxor2008”).



“Thay vì tập trung nghiên cứu toàn bộ một mã độc hay truy tìm các mẫu mới của một loại mã độc, chúng tôi muốn đưa ra một góc nhìn khác và đã quyết định tập trung vào một số tính năng được viết bởi những kẻ phát triển mã khai thác,” hai chuyên gia bảo mật Itay Cohen và Eyal Itkin của Check Point cho biết.



Nhận dạng kẻ phát triển mã khai thác



Về cơ bản, ý tưởng là các nhà nghiên cứu sẽ xác định các artifact riêng biệt trên một mã khai thác mà có thể liên hệ trực tiếp tới kẻ phát triển. Chẳng hạn như việc sử dụng các giá trị được mã hóa cứng (hard-coded), tên chuỗi, hay thậm chí là cách tổ chức code và cách triển khai một số function nhất định.



Check Point cho biết họ bắt đầu phân tích này do phải đối phó với một “cuộc tấn công phức tạp” đang ảnh hưởng tới hệ thống mạng của một khách hàng của mình. Được biết một tệp thực thi mã độc 64-bit đang khai thác lỗ hổng CVE-2019-0859 nhằm giành được các đặc quyền cao hơn trên hệ thống của khách hàng này.



Nhận thấy mã khai thác và mã độc được viết bởi hai nhóm người khác nhau, các nhà nghiên cứu đã sử dụng các thuộc tính của tệp nhị phân làm chữ ký truy tìm duy nhất (unique hunting signature) và phát hiện ra ít nhất 11 mã khai thác khác được phát triển bởi cùng một developer tên là “Volodya” (hay “Volodimir”).



“Hầu như việc tìm ra và khai thác lỗ hổng sẽ được phối hợp thực hiện bởi một nhóm các cá nhân mà trong đó mỗi người sẽ chuyên về một lĩnh vực cụ thể. Vì thế, các những kẻ phát triển mã độc không thực sự quan tâm các mã khai thác này được viết như thế nào, chúng chỉ muốn tích hợp mã khai thác vào và nhanh chóng hoàn thành mã độc của mình,” các nhà nghiên cứu nói.



Điều thú vị là Volodya – nhiều khả năng là người gốc Ukraina – đã từng bị cáo buộc có liên quan tới các phi vụ bán mã khai thác zero-day trên hệ điều hành Windows trước đây. Hắn đã rao bán chúng cho các nhóm gián điệp mạng và băng nhóm tội phạm với giá dao động từ 85.000 cho đến 200.000 USD.



Đứng đầu trong danh sách kinh doanh của hắn là một mã khai thác LPE (local privilege escalation). Nó đã gây ra một lỗi gián đoạn bộ nhớ trên “ NtUserSetWindowLongPtr ” (CVE-2016-7255) và đã được sử dụng rộng rãi bởi nhiều nhóm tấn công ransomware như GandCrab, Cerber và Magniber . Được biết Volodya đã quảng cáo LPE zero-day này trên diễn đàn tội phạm mạng Exploit.in vào tháng 5 năm 2016.



Tổng cộng Volodya đã phát triển tất cả 5 mã khai thác zero-day và 6 mã khai thác one-day từ năm 2015 cho đến năm 2019. Sau đó, các nhà nghiên cứu đã áp dụng kỹ thuật tương tự để xác định thêm 5 mã khai thác LPE khác được phát triển bởi một kẻ chuyên kinh doanh mã khai thác tên là PlayBit.



Một mạng lưới khách hàng tiềm năng



Cho rằng các mẫu khai thác chia sẻ sự tương đồng ở cấp độ mã để cấp các đặc quyền HỆ THỐNG cho quy trình mong muốn, các nhà nghiên cứu nói, “cả hai kẻ phát triển này đều rất kiên định với quy trình khai thác của mình, mỗi người có một cách viết mã yêu thích của riêng mình.”



Hơn nữa, dường như Volodya đã thay đổi chiến thuật của mình trong những năm qua. Hắn đã chuyển từ việc bán các mã khai thác dưới dạng mã nguồn có thể nhúng trong mã độc, sang một tiện ích ngoài có thể chấp nhận một API cụ thể.



Bên cạnh các nhóm ransomware , Volodya còn bị phát hiện đang cung cấp dịch vụ cho một nhóm khách hàng có quy mô lớn hơn, bao gồm nhóm banking trojan Ursnif và các nhóm APT như Turla, APT28 và Buhtrap.



“Các khách hàng APT của Volodya như Turla, APT28 và Buhtrap, đều có nguồn gốc từ Nga và thật thú vị khi phát hiện ra rằng ngay cả những nhóm tấn công quy mô lớn như trên cũng đi mua các mã khai thác bên ngoài, thay vì tự mình phát triển chúng,” Check Point nhận xét trong bài phân tích của mình. “Điều này đã củng cố thêm giả thuyết của chúng tôi rằng mã khai thác có thể là một phần được tách biệt riêng khỏi mã độc.”



Với các cuộc tấn công mạng ngày càng mở rộng về phạm vi, tần suất và cường độ, việc sử dụng chữ ký mã khai thác của kẻ phát triển có thể giúp nhà nghiên cứu lần theo dấu vết của kẻ tấn công, từ đó cung cấp nhiều thông tin giá trị về chợ đen của những nhóm tội phạm mạng nguy hiểm này.



“Khi Check Point tìm thấy một lỗ hổng , chúng tôi sẽ đánh giá mức độ nghiêm trọng của nó, báo cáo cho nhà cung cấp và đảm bảo nó được vá kịp thời để tránh tối đa những mối đe dọa,” Cohen cho biết. “Tuy nhiên, đối với các cá nhân kinh doanh mã khai thác, câu chuyện này lại hoàn toàn khác. Đối với chúng, việc tìm ra lỗ hổng chỉ là bước khởi đầu. Sau đó chúng còn phải khai thác nó trên nhiều phiên bản nhất có thể, để đáp ứng được nhu cầu của nhiều khách hàng khác nhau và thu lợi nhuận từ đó.”



“Nghiên cứu trên đã cung cấp một cái nhìn tổng quan về cách mà các mã khai thác được trao đổi buôn bán trên trên thị trường bí ẩn này, và những vị khách thường xuyên của nó – các cơ quan tình báo cấp quốc gia. Chúng tôi tin rằng phương pháp nghiên cứu này có thể được sử dụng để xác định thêm nhiều kẻ phát triển mã khai thác khác.”



Theo The Hacker News
The post Nghiên cứu mới giúp nhận diện các nhà phát triển mã độc khai thác – kẻ tiếp tay cho một loạt nhóm tin tặc nguy hiểm appeared first on SecurityDaily .