Desarrolladores de Exploit PlayBit y Volodya

Los investigadores Eyal Itkin e Itay Cohen de Checkpoint han desarrollado una investigación muy recomendable. El principal objetivo es centrarse en el punto de vista del exploiter en este caso PlayBit o luxor2008, sobre todo en sus técnicas, tácticas y procedimientos (TTPs) al desarrollar y planificar su código de explotación.

Graphology of an Exploit : https://vblocalhost.com/uploads/VB2020-04.pdf

Volodya

Anteriormente habían expuesto evidencia asociada a Volodya, otro destacado desarrollador de exploits, fue rastreado utilizando sus “huellas digitales” en el desarrollo, incluso se ha demostrado una notable evolución por parte del adversario a la hora de emplear el código. Las muestras de la investigación han sido 900 de las cuales se han podido identificar 12 CVE’s.

CVE-2016-0165
CVE-2015-2546
CVE-2016-0040
CVE-2017-0001
CVE-2018-8641
CVE-2019-1458
CVE-2016-0167
CVE-2018-8453 PlayBit (a.k.a luxor2008)
CVE-2013-3660 PlayBit (a.k.a luxor2008)
CVE-2015-0057 PlayBit (a.k.a luxor2008)
CVE-2015-1701 PlayBit (a.k.a luxor2008)
CVE-2016-7255 PlayBit (a.k.a luxor2008)

Grupos identificados reconocidos utilizando el exploit y sus CVE identificados. (APT28, Ursnif & Dreambot, GanCrab, Cerber, Turla, Magniber, Buhtrap, FIN8).

Por otro lado, se hace hincapié fundamental en el perfilamiento y explotación desde el punto de vista de vulnerabilidades del tipo LPE, permitiendo entender el enfoque inicial del desarrollo de exploits.

Graphology of an Exploit : https://vblocalhost.com/uploads/VB2020-04.pdf

Playbit

Unos de los CVE con los que CheckPoint inicia el perfilamiento para Playbit es CVE-2018-8453, dicha vulnerabilidad fue investigada previamente por Kasperksy “Sodin ransomware exploits Windows vulnerability and processor architecture” también observado y explotada por Sodin, Sodinokibi y REvil.

CVE-2018-8453
Classification: 1-Day
Basic Description: Use-after-free in win32kfull!xxxDestroyWindow
Used by the following malware families: REvil (Sodinokibi), Maze, Neshta
Background on this vulnerability:
Originally exploited as a 0-Day, and attributed to FruityArmor.
URL: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2018-8453
PoC: leHACK 2019: Analyzing CVE-2018-8453: An interesting tale of UAF and Double Free in Windows Kernel

CVE-2013-3660
Classification: 1-Day
Basic Description: Uninitialized kernel pointer in EPATHOBJ::pprFlattenRec
Used by the following malware families: Dyre, Ramnit
Background on this vulnerability:
This vulnerability was originally found by Google’s Tavis Ormandy, and made headlines due to an unusual disclosure process as Microsoft was not notified about the vulnerability before the full disclosure.
PoC: The Powerloader 64‑bit update based on leaked exploits

Banner del Exploit LPE CVE-2013-3660 by Playbit – https://research.checkpoint.com/2020/graphology-of-an-exploit-playbit/

CVE-2015-0057
Classification: 1-Day
Basic Description: Use-After-Free in win32k!xxxEnableWndSBArrows
Used by the following malware families: Dyre, Evotob
Background on this vulnerability:
MS15-010 Report: Udi Yavo CTO of enSilo
Blackhat FireEye: Dyre Banking Exploit: CVE-2015-0057

CVE-2015-1701
Classification: 1-Day
Basic Description: CreateWindow callback validation error
Used by the following malware families: Locky
Background on this vulnerability:
Also known as MS15-051, this vulnerability was originally exploited as a 0-Day in an operation attributed to APT28.
Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack
Locky Ransomware Spreads via Flash and Windows Kernel Exploits CVE-2015-1701
URL: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-051

….Continuara!

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y destinado la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s