Forskare har utvecklat teknik för att spåra ”fingeravtryck” i skadlig god

Säkerhetsforskare hos Check Point har utvecklat en teknik för att identifiera olika utvecklare av skadlig kod. Genom att kunna identifiera en utvecklares unika ”handstil” eller ”fingeravtryck” i den skadliga koden kommer säkerhetsforskarna nu att kunna upptäcka nya förekomster av skadlig kod utvecklade av samma utvecklare, vilket leder till större möjligheter att stoppa dem direkt. Dessutom kan det leda till att hela familjer av skadlig kod kan stoppas, om ursprungskoden köpts av en utvecklare där ”handstilen” är känd.

-Förutom att vårt arbete med att identifiera olika utvecklare av skadlig kod ger större möjlighet att snabbare stoppa attacker, ger det en helt ny inblick i hur den svarta marknaden för skadlig kod ser ut, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Tidigare har IT-säkerhetsansvariga bara kunnat identifiera ”fingeravtryck” på hela familjer av skadlig kod. Det leder ofta ingen vart, då viktiga delar i den skadliga koden utvecklats av andra aktörer. Check Points forskare har nu angripit problemet från ett annat perspektiv.

I analysarbetet utgick forskarna från en av de mest aktiva och flitiga utvecklarna av skadlig kod för Windows-kärnan, kallad "Volodya", tidigare känd som "BuggiCorp". Volodya säljer flera olika typer av skadlig kod och verkar ha varit aktiv sedan 2015. Check Points forskare har kunnat spåra Volodyas verk i flera omfattande attacker, som även har utnyttjats av statliga aktörer.

För mer information, se Check Points blogg: https://research.checkpoint.com/2020/graphology-of-an-exploit-volodya/