Ich packe mal zwei Sicherheitsthemen in diesem Blog-Beitrag zusammen. Microsoft hat den Digital Defense Report vorgelegt. Und es gibt einen Ansatz zur Jagd nach Exploits durch Suche nach den Fingerabdrücken des Autors.
Microsoft Digital Defense Report
Ransomware-Kampagnen werden oft in Form einer Infektion durch eine Malware (Nutzlast der Kampagne) aufgefasst und interpretiert. In Wirklichkeit handelt es sich bei einem Ransomware-Angriff jedoch um eine Attacke, bei dem menschliche Gegner ein Netzwerk angreifen.
Die Verteidigung gegen Cyberkriminelle ist eine komplexe, sich ständig weiterentwickelnde und nie endende Herausforderung. Cyberkriminelle verstehen es zudem, ihre Aktivitäten in Krisenzeiten wie jetzt bei COVID-19 zu steigern. Aber Wissen ist Macht. Damit Sicherheitsexperten erfolgreiche Verteidigungsstrategien entwickeln können, brauchen sie mehr vielfältige und zeitnahere Einblicke in die Bedrohungen, gegen die sie sich verteidigen.
Microsoft hat daher jetzt seinen Microsoft Digital Defense Report veröffentlicht, der sich hier als PDF-Dokument abrufen lässt. Der Bericht datiert vom 28. September 2020. Der Bericht basiert auf mehr als 8 Milliarden täglicher Sicherheitssignale und Beobachtungen, die Telemetriesysteme an Microsoft melden. Diese werden durch Microsoft Experten für Sicherheit und Bedrohungsaufklärung ausgewertet. Diese haben die Erkenntnisse und Einblicke in den aktuellen Stand der Cybersicherheit in diesem Digital Defense Report veröffentlicht.
Exploit-Autoren an ihrem Fingerabdruck erkennen
Interessante Sache, die Sicherheitsforscher von Checkpoint in diesem Beitrag offen legen. Ausgehend von einem Einzelfall, bei dem ein Kunde angegriffen wurde, versuchen die Sicherheitsforscher neue Wege bei der Jagd nach Exploits und deren Urhebern zu gehen. Sie schreiben, dass die Forschungsteams für Schwachstellen- und Malware-Anlayse in den vergangenen Monaten gemeinsam Anstrengungen unternommen haben, um sich auf die Exploits innerhalb der Malware und insbesondere auf die Autoren der Exploits selbst zu konzentrieren.
Ausgehend von einem einzigen Incident Response-Fall haben die Sicherheitsforscher ein Profil eines der aktivsten Exploit-Entwickler für Windows erstellt, der als „Volodya“ oder „BuggiCorp“ bekannt ist. An Hand dieses Profils oder Fingerabdrucks ist es bis jetzt gelungen, mehr als 10 Windows Kernel Local Privilege Escalation (LPE)-Exploits dieses Entwicklers aufzuspüren. Viele der Funde waren zum Zeitpunkt der Entwicklung 0-day-Exploits. Die Details sind im verlinkten Artikel nachlesbar.
Ergänzung: Inzwischen hat mir Checkpoint auch Details zukommen lassen, die ich einfach hier mal einstelle:
Die Sicherheitsforscher von Check Point® Softre Technologies Ltd. vermelden einen Meilenstein im Kampf gegen Windows-Exploits und Zero-Day-Attacken. Es gelang den Experten, die digitalen Merkmale – sozusagen die Fingerabdrücke im Code – zweier bekannter Malware-Entwickler zu identifizieren.
Bisher war es üblich, Angriffe auf die generelle Malware-Familie zurückzuführen. Allerdings führt das oft in eine Sackgasse, da bei solchen Angriffen unterschiedliche Methoden von unterschiedlichen Autoren eingesetzt werden können. Nun gelang der Durchbruch. Detaillierte Analysen erbrachten die virtuellen ‚Fingerabdrücke‘ zweier Exploit-Entwickler, die sich auf das Aufdecken und Ausnutzen von Windows-Schwachstellen spezialisiert haben.
Die Sicherheitsforscher von Check Point begannen mit der Auswertung eines der aktivsten und am weitesten verbreiteten Exploit-Entwicklers für den Windows-Kernel, namens Volodya, früher bekannt als BuggiCorp. Volodya verkauft Exploits sowohl für Day-One-Sicherheitslücken als auch für die lukrativeren Zero-Day-Sicherheitslücken. Check Point Research fand heraus, dass Volodya mindestens seit 2015 aktiv ist und konnte elf verschiedene Exploits für den Windows-Kernel aufspüren.
Zu Volodyas Kunden gehört beliebte Crimeware, wie Dreambot und Magniber, sowie nationalstaatliche Malware-Familien, wie Turla und APT28, die häufig mit Russland in Verbindung gebracht werden.
Der zweite Exploit-Entwickler und -Verkäufer, den die Forscher von Check Point analysiert haben, heißt PlayBit oder luxor2008. PlayBit ist spezialisiert auf 0-Day-Schwachstellen im Windows-Kernel. Die Forscher von Check Point konnten fünf verschiedene Exploits finden, die von PlayBit entwickelt und an prominente Crimeware-Gruppen, wie REvil und Maze verkauft wurden. Beide sind als berüchtigte Ransomware bekannt.
Dank der intensiven Nachforschung und Identifikation der Fingerabdrücke der Exploit-Entwickler ist Check Point nun in der Lage:
-
das Vorhandensein von Exploits zu erkennen, die von diesen Entwicklern in bestimmten Malware-Familien geschrieben wurden.
-
weitere Exploits zu entdecken, die von demselben Entwickler geschrieben wurden, da sie einen gemeinsamen ‚Fingerabdruck‘ haben. So lassen sich potentiell auch Zero-Day-Exploits dieser Entwickler identifizieren.
-
alle Malware-Familien zu blockieren, die einen Exploit von einem der Entwickler gekauft haben.