安全研究人員開發了一種新技術,可以通過其“指紋”來跟踪黑客。他們能夠鏈接Windows本地特權升級(LPE)利用兩個不同的作者。
他們認為,Windows利用賣家以前將其創作出售給了先進的俄羅斯威脅(APT)團體和其他客戶。根據網絡安全公司檢查點的說法部落格帖子,新策略是在客戶響應事件的背面開發的,在網絡攻擊期間發現了一個小型64位可執行文件。
團隊分析了該文件,並發現了針對試圖在目標機器之一上使用漏洞的獨特錯誤字符串。剩餘的PDB路徑(... CVE-2019-0859x64releasecmdtest.pdb0)在文件中發現,這表明使用了現實世界中的利用工具。
安全研究人員決定使用新技術來“指紋”可識別的,唯一的標識符,這被認為是特定利用開發人員的工作。檢查點獲得了另一個32位文件,該文件揭示了同一個人的編譯作品。
安全研究人員還分析了網絡犯罪分子的海拔技術。
檢查點研究人員還研究了內部文件名,二進制代碼,PBD路徑和硬編碼值(例如加密常數)中的獨特文物。他們還分析了垃圾值,字符串使用情況,數據表,Syscall包裝器和代碼片段。
該團隊還分析了黑客的首選高程和洩漏技術,無論是否使用了治愈噴霧劑。他們還研究了利用的一般過程。
另一方面,兩個小二進製文件變成了新樣本的流程,它們都是基於新建立的檢查點狩獵規則的。然後,安全專家觀察了新樣本,並分析了所使用的技術,從而使他們可以識別兩個利用賣方。
有關黑客和其他網絡攻擊者的更多新聞更新,請始終在TechTimes打開您的標籤。
本文由Techtimes擁有,
