{"id":236316,"date":"2020-10-06T01:30:08","date_gmt":"2020-10-05T23:30:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236316"},"modified":"2023-04-11T07:23:37","modified_gmt":"2023-04-11T05:23:37","slug":"sicherheit-microsoft-digital-defense-report-exploit-autor-fingerabdruck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/06\/sicherheit-microsoft-digital-defense-report-exploit-autor-fingerabdruck\/","title":{"rendered":"Sicherheit: Microsoft Digital Defense Report, Exploit-Autor-Fingerabdruck"},"content":{"rendered":"

Ich packe mal zwei Sicherheitsthemen in diesem Blog-Beitrag zusammen. Microsoft hat den Digital Defense Report vorgelegt. Und es gibt einen Ansatz zur Jagd nach Exploits durch Suche nach den Fingerabdr\u00fccken des Autors.<\/p>\n

<\/p>\n

Microsoft Digital Defense Report<\/h2>\n

\"\"Ransomware-Kampagnen werden oft in Form einer Infektion durch eine Malware (Nutzlast der Kampagne) aufgefasst und interpretiert.\u00a0 In Wirklichkeit handelt es sich bei einem Ransomware-Angriff jedoch um eine Attacke, bei dem menschliche Gegner ein Netzwerk angreifen.<\/p>\n

\"Microsoft<\/a><\/p>\n

Die Verteidigung gegen Cyberkriminelle ist eine komplexe, sich st\u00e4ndig weiterentwickelnde und nie endende Herausforderung. Cyberkriminelle verstehen es zudem, ihre Aktivit\u00e4ten in Krisenzeiten wie jetzt bei COVID-19 zu steigern. Aber Wissen ist Macht. Damit Sicherheitsexperten erfolgreiche Verteidigungsstrategien entwickeln k\u00f6nnen, brauchen sie mehr vielf\u00e4ltige und zeitnahere Einblicke in die Bedrohungen, gegen die sie sich verteidigen.<\/p>\n

Microsoft hat daher jetzt seinen Microsoft Digital Defense Report ver\u00f6ffentlicht, der sich hier als PDF-Dokument<\/a> abrufen l\u00e4sst. Der Bericht datiert vom 28. September 2020. Der Bericht basiert auf mehr als 8 Milliarden t\u00e4glicher Sicherheitssignale und Beobachtungen, die Telemetriesysteme an Microsoft melden. Diese werden durch Microsoft Experten f\u00fcr Sicherheit und Bedrohungsaufkl\u00e4rung ausgewertet. Diese haben die Erkenntnisse und Einblicke in den aktuellen Stand der Cybersicherheit in diesem Digital Defense Report ver\u00f6ffentlicht.<\/p>\n

Exploit-Autoren an ihrem Fingerabdruck erkennen<\/h2>\n

Interessante Sache, die Sicherheitsforscher von Checkpoint in diesem Beitrag<\/a> offen legen. Ausgehend von einem Einzelfall, bei dem ein Kunde angegriffen wurde, versuchen die Sicherheitsforscher neue Wege bei der Jagd nach Exploits und deren Urhebern zu gehen. Sie schreiben, dass die Forschungsteams f\u00fcr Schwachstellen- und Malware-Anlayse in den vergangenen Monaten gemeinsam Anstrengungen unternommen haben, um sich auf die Exploits innerhalb der Malware und insbesondere auf die Autoren der Exploits selbst zu konzentrieren.<\/p>\n

Ausgehend von einem einzigen Incident Response-Fall haben die Sicherheitsforscher ein Profil eines der aktivsten Exploit-Entwickler f\u00fcr Windows erstellt, der als \"Volodya\" oder \"BuggiCorp\" bekannt ist. An Hand dieses Profils oder Fingerabdrucks ist es bis jetzt gelungen, mehr als 10 Windows Kernel Local Privilege Escalation (LPE)-Exploits dieses Entwicklers aufzusp\u00fcren. Viele der Funde waren zum Zeitpunkt der Entwicklung 0-day-Exploits. Die Details sind im verlinkten Artikel nachlesbar.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat mir Checkpoint auch Details zukommen lassen, die ich einfach hier mal einstelle:<\/p>\n

Die Sicherheitsforscher von\u00a0Check Point\u00ae Softre Technologies Ltd. vermelden einen Meilenstein im Kampf gegen Windows-Exploits und Zero-Day-Attacken. Es gelang den Experten, die digitalen Merkmale \u2013 sozusagen die Fingerabdr\u00fccke im Code \u2013 zweier bekannter Malware-Entwickler zu identifizieren.<\/p>\n

Bisher war es \u00fcblich, Angriffe auf die generelle Malware-Familie zur\u00fcckzuf\u00fchren. Allerdings f\u00fchrt das oft in eine Sackgasse, da bei solchen Angriffen unterschiedliche Methoden von unterschiedlichen Autoren eingesetzt werden k\u00f6nnen. Nun gelang der Durchbruch. Detaillierte Analysen erbrachten die virtuellen \u201aFingerabdr\u00fccke' zweier Exploit-Entwickler, die sich auf das Aufdecken und Ausnutzen von Windows-Schwachstellen spezialisiert haben.<\/p>\n

Die Sicherheitsforscher von Check Point begannen mit der Auswertung eines der aktivsten und am weitesten verbreiteten Exploit-Entwicklers f\u00fcr den Windows-Kernel, namens\u00a0Volodya<\/em>, fr\u00fcher bekannt als\u00a0BuggiCorp<\/em>.\u00a0Volodya <\/em>verkauft Exploits sowohl f\u00fcr Day-One-Sicherheitsl\u00fccken als auch f\u00fcr die lukrativeren Zero-Day-Sicherheitsl\u00fccken. Check Point Research fand heraus, dass\u00a0Volodya\u00a0<\/em>mindestens seit 2015 aktiv ist und konnte elf verschiedene Exploits f\u00fcr den Windows-Kernel aufsp\u00fcren.<\/p>\n

Zu\u00a0Volodyas<\/em>\u00a0Kunden geh\u00f6rt beliebte Crimeware, wie\u00a0Dreambot<\/em>\u00a0und\u00a0Magniber,<\/em>\u00a0sowie nationalstaatliche Malware-Familien, wie\u00a0Turla<\/em>\u00a0und\u00a0APT28<\/em>, die h\u00e4ufig mit Russland in Verbindung gebracht werden.<\/p>\n

Der zweite Exploit-Entwickler und -Verk\u00e4ufer, den die Forscher von Check Point analysiert haben, hei\u00dft PlayBit <\/em>oder\u00a0 luxor2008<\/em>. PlayBit<\/em> ist spezialisiert auf 0-Day-Schwachstellen im Windows-Kernel. Die Forscher von Check Point konnten f\u00fcnf verschiedene Exploits finden, die von PlayBit<\/em>\u00a0entwickelt und an prominente Crimeware-Gruppen, wie\u00a0REvil<\/em>\u00a0und\u00a0Maze<\/em>\u00a0verkauft wurden. Beide sind als ber\u00fcchtigte Ransomware bekannt.<\/p>\n

Dank der intensiven Nachforschung und Identifikation der Fingerabdr\u00fccke der Exploit-Entwickler ist Check Point nun in der Lage:<\/p><\/blockquote>\n