Rastrear exploits a través de huellas digitales

Investigadores de ciberseguridad detallaron el viernes una nueva metodología para identificar a los autores de exploits que utilizan sus características únicas, como huella digital, para rastrear otros exploits desarrollados por ellos. Al implementar esta técnica, los investigadores pudieron vincular 16 exploits de escalada de privilegios locales (LPE) de Windows a dos vendedores de día cero […]

Investigadores de ciberseguridad detallaron el viernes una nueva metodología para identificar a los autores de exploits que utilizan sus características únicas, como huella digital, para rastrear otros exploits desarrollados por ellos.

Al implementar esta técnica, los investigadores pudieron vincular 16 exploits de escalada de privilegios locales (LPE) de Windows a dos vendedores de día cero “Volodya” (anteriormente llamado “BuggiCorp”) y “PlayBit” (o “luxor2008”).

“En lugar de centrarnos en un malware completo y buscar nuevas muestras de la familia o el actor del malware, queríamos ofrecer otra perspectiva y decidimos concentrarnos en estas pocas funciones que fueron escritas por un desarrollador de exploits”, señalaron desde CheckPoint Research.

Toma de huellas digitales 

La idea, en pocas palabras, es hacer una huella digital de un exploit para artefactos específicos que pueden vincularlo de manera única a un desarrollador. Podría ser en el uso de valores codificados, nombres de cadenas o incluso cómo se organiza el código y se implementan ciertas funciones.

Check Point dijo que su análisis comenzó en respuesta a un “ataque complicado” contra uno de sus clientes cuando se encontraron con un ejecutable de malware de 64 bits que explotaba  CVE-2019-0859  para obtener privilegios elevados.

Al darse cuenta de que el exploit y el malware fueron escritos por dos grupos diferentes de personas, los investigadores utilizaron las propiedades del binario como una firma de caza única para encontrar al menos otros 11 exploits desarrollados por el mismo desarrollador llamado “Volodya” (o “Volodimir” ).

¿Qué son las huellas dactilares de ciberseguridad?

• Las huellas dactilares de ciberseguridad se refieren a un conjunto de información que se puede utilizar para identificar protocolos de red, sistemas operativos, dispositivos de hardware, software, entre otras cosas.
  
• Los piratas informáticos utilizan las huellas digitales como el primer paso de su ataque para recopilar la máxima información sobre los objetivos.

La toma de huellas digitales , también conocida como huella, se puede implementar como una medida de seguridad para autenticar a los usuarios.

• Sin embargo, los atacantes aprovechan esto para identificar vulnerabilidades en los sistemas de destino que pueden aprovechar.
  
• La toma de huellas dactilares puede proporcionar a los atacantes información valiosa como el tipo de sistema operativo, la versión del sistema operativo, información SNMP, nombres de dominio, bloques de red, puntos VPN y más.
  
• Para recopilar detalles sobre la red del objetivo, los atacantes suelen lanzar paquetes personalizados.
  
• Cuando estos paquetes reciben una respuesta de la red de destino en forma de firma digital, los atacantes pueden deducir el sistema operativo, el software y los protocolos.
  
• Esto les permite personalizar el ataque para causar el máximo daño a los sistemas objetivo.

Tipos de huellas digitales

Las técnicas de toma de huellas digitales se basan en la detección de patrones y la observación de diferencias en los paquetes de red generados. Hay dos tipos de huellas dactilares : activa y pasiva.

• La toma de huellas digitales activa implica enviar paquetes TCP o ICMP a un sistema y analizar la respuesta del objetivo. Los encabezados de los paquetes contienen varios indicadores que hacen que los diferentes sistemas operativos y versiones respondan de manera diferente.
  
• Sin embargo, la toma de huellas dactilares activa conlleva el riesgo de una fácil detección.
  
• Las técnicas de toma de huellas digitales pasivas son de naturaleza sigilosa, ya que no implican el envío de paquetes al sistema de destino. Dependen de escanear la red como rastreadores para detectar patrones en el tráfico de red habitual.
  
• Los diferentes sistemas operativos tienen diferentes implementaciones de TCP / IP. La huella digital pasiva utiliza esto para determinar el posible sistema operativo utilizado por el objetivo.
  
• Una vez recopilada una buena cantidad de datos, se puede utilizar para analizar el sistema de destino. Esta técnica se considera menos precisa que la toma de huellas dactilares activa.