شکار بهره برداری با جستجوی اثر انگشت های نویسنده: نمودارشناسی یک بهره برداری

در ماه های گذشته ، تیم تحقیقاتی آسیب پذیری و بدافزار ما تلاش کردند تا بر بهره برداری در داخل بدافزار و به طور خاص ، بر خود نویسندگان بهره برداری متمرکز شوند. با شروع از یک مورد Incident Response ، ما نمایه یکی از فعال ترین توسعه دهندگان بهره برداری برای ویندوز را ایجاد کردیم ، معروف به “ولودیا” یا “BuggiCorp” تاکنون ، ما موفق به ردیابی بیش از 10 (!) بهره برداری از Windows Kernel Local Privilege Escalation (LPE) شده ایم که بسیاری از آنها در زمان توسعه صفر روز بودند.

زمینه

داستان ما ، مانند همه داستان های خوب ، با یک مورد پاسخ به یک حادثه آغاز می شود. هنگام تجزیه و تحلیل حمله پیچیده علیه یکی از مشتریان ما ، متوجه شدیم که یک اجرای بسیار کوچک 64 بیتی وجود دارد که توسط بدافزار اجرا شده است. این نمونه شامل رشته های اشکال زدایی غیرمعمول بود که نشانگر تلاش برای بهره برداری از آسیب پذیری در دستگاه قربانی بود. از همه مهمتر ، نمونه یک مسیر PDB باقیمانده داشت که هدف این باینری را با صدای بلند و واضح اعلام می کرد: … cve-2019-0859 x64 Release CmdTest.pdb. با فقدان هیچ منبع آنلاین با این اجرای CVE-2019-0859 ، متوجه شدیم که ما …