Den Sicherheitsforschern von Check Point gelang es, die virtuelle Handschrift zweier bekannter Hacker zu entschlüsseln. Dadurch lassen sich Windows-Exploits nicht nur den Übeltätern zuordnen, sondern auch besser verhindern.
San Carlos, Kalifornien – 15. Oktober 2020 – Die Sicherheitsforscher von Check Point® Softre Technologies Ltd.(NASDAQ: CHKP) vermelden einen neuen Meilenstein im Kampf gegen Windows-Exploits und Zero-Day-Attacken. Es gelang den Experten, die digitalen Merkmale – sozusagen die Fingerabdrücke im Code – zweier bekannter Übeltäter zu identifizieren.
Bisher war es üblich, Angriffe auf die generelle Malware-Familie zurückzuführen. Allerdings führt das oft in eine Sackgasse, da bei solchen Angriffen unterschiedliche Methoden von unterschiedlichen Autoren eingesetzt werden können. Nun der Durchbruch. Detaillierte Analysen erbrachten die virtuellen ‚Fingerabdrücke‘ zweier Exploit-Entwickler, die sich auf das Aufdecken und Ausnutzen von Windows-Schwachstellen spezialisiert haben.
Die Sicherheitsforscher von Check Point begannen mit der Auswertung eines der aktivsten und am weitesten verbreiteten Exploit-Entwicklers für den Windows-Kernel, namens Volodya, früher bekannt als BuggiCorp. Volodyaverkauft Exploits sowohl für Day-One-Sicherheitslücken als auch für die lukrativeren Zero-Day-Sicherheitslücken. Check Point Research fand heraus, dass Volodya mindestens seit 2015 aktiv ist und konnte elf verschiedene Exploits für den Windows-Kernel aufspüren. Zu Volodyas Kunden gehört beliebte Crimeware, wie Dreambot und Magniber, sowie nationalstaatliche Malware-Familien, wie Turla und APT28, die häufig mit Russland in Verbindung gebracht werden.
Der zweite Exploit-Entwickler und -Verkäufer, den die Forscher von Check Point analysiert haben, heißt PlayBitoder luxor2008. PlayBit ist spezialisiert auf Day-One-Schwachstellen im Windows-Kernel. Die Forscher von Check Point konnten fünf verschiedene Exploits finden, die von PlayBit entwickelt und an prominente Crimeware-Gruppen, wie REvil und Maze verkauft wurden. Beide sind als berüchtigte Ransomware bekannt.
Dank der intensiven Nachforschung und Identifikation der Fingerabdrücke der Exploit-Entwickler ist Check Point nun in der Lage:
- das Vorhandensein von Exploits zu erkennen, die von diesen Entwicklern in bestimmten Malware-Familien geschrieben wurden.
- weitere Exploits zu entdecken, die von demselben Entwickler geschrieben wurden, da sie einen gemeinsamen ‚Fingerabdruck‘ haben. So lassen sich potentiell auch Zero-Day-Exploits dieser Entwickler identifizieren.
- alle Malware-Familien zu blockieren, die einen Exploit von einem der Entwickler gekauft haben.
Alles über die Jagd nach den virtuellen Fingerabdrücken der Cyberkriminellen lesen Sie unter: https://research.checkpoint.com/2020/graphology-of-an-exploit-volodya/
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Folgen Sie Check Point Research hier:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
