تستمر الطريقة التي يتم بها إدخال الشفرات الخبيثة في التطور من خلال اتباع الأساليب القديمة وتحسين الطريقة التي يتم بها خداع الضحايا.
يبدو أن لا تزال فكرة حصان طروادة مفيدة جدًا حتى يومنا هذا وبطرق خفية يمكن للكثيرين منا أن يمروا دون أن يلاحظها أحد ، ومؤخرًا باحثون من جامعة ليدن (هولندا) درس مشكلة نشر نماذج استغلال وهمية على GitHub.
فكرة استخدم هذه لتتمكن من مهاجمة المستخدمين الفضوليين الذين يرغبون في اختبار ومعرفة كيفية استغلال بعض الثغرات الأمنية باستخدام الأدوات المقدمة ، يجعل هذا النوع من المواقف مثاليًا لإدخال تعليمات برمجية ضارة لمهاجمة المستخدمين.
يقال أنه في الدراسة تم تحليل ما مجموعه 47.313 مستودعات برمجيات إكسبلويت ، تغطي الثغرات الأمنية المعروفة التي تم تحديدها من 2017 إلى 2021. أظهر تحليل الاستغلال أن 4893 (10,3٪) منها تحتوي على تعليمات برمجية تنفذ إجراءات ضارة.
هذا هو السبب يُنصح المستخدمون الذين قرروا استخدام برامج استغلال الثغرات المنشورة بفحصها أولاً البحث عن الإدخالات المشبوهة وتشغيل الثغرات فقط على الأجهزة الافتراضية المعزولة عن النظام الرئيسي.
يتم مشاركة إثبات المفهوم (PoC) للثغرات الأمنية المعروفة على نطاق واسع في مجتمع الأمن. إنها تساعد محللي الأمن على التعلم من بعضهم البعض وتسهيل تقييمات الأمان وتكوين فرق الشبكة.
على مدى السنوات القليلة الماضية ، أصبح توزيع PoCs على سبيل المثال من خلال مواقع الويب والأنظمة الأساسية أمرًا شائعًا جدًا ، وكذلك من خلال مستودعات الأكواد العامة مثل GitHub. ومع ذلك ، لا تقدم مستودعات الكود العام أي ضمان بأن أي PoC معين يأتي من مصدر موثوق أو حتى أنه يقوم ببساطة بما يفترض أن يفعله بالضبط.
في هذه الورقة ، نحقق في نقاط الضعف المشتركة على GitHub بحثًا عن نقاط الضعف المعروفة التي تم اكتشافها في 2017-2021. اكتشفنا أنه ليست كل نقاط التوثيق جديرة بالثقة.
حول المشكلة تم تحديد فئتين رئيسيتين من برمجيات إكسبلويت الخبيثة: المآثر التي تحتوي على تعليمات برمجية ضارة ، على سبيل المثال لإغلاق النظام ، أو تنزيل حصان طروادة ، أو توصيل جهاز بشبكة الروبوتات ، والاستغلال الذي يجمع معلومات حساسة عن المستخدم وترسلها.
وبالإضافة إلى ذلك، كما تم تحديد فئة منفصلة من برمجيات إكسبلويت الوهمية غير المؤذية التي لا تقوم بأعمال ضارة ، لكنها أيضًا لا تحتوي على الوظيفة المتوقعة، على سبيل المثال ، مصمم لخداع أو تحذير المستخدمين الذين يقومون بتشغيل تعليمات برمجية لم يتم التحقق منها من الشبكة.
بعض البراهين على المفهوم وهمية (أي أنها لا تقدم في الواقع وظيفة PoC) ، أو
حتى ضارة: على سبيل المثال ، يحاولون إخراج البيانات من النظام الذي يعملون عليه ، أو يحاولون تثبيت برامج ضارة على هذا النظام.لمعالجة هذه المشكلة ، اقترحنا نهجًا لاكتشاف ما إذا كان PoC ضارًا أم لا. يعتمد نهجنا على اكتشاف الأعراض التي لاحظناها في مجموعة البيانات التي تم جمعها ، لـ
على سبيل المثال ، المكالمات لعناوين IP الضارة أو التعليمات البرمجية المشفرة أو الثنائيات المضمنة في أحصنة طروادة.باستخدام هذا النهج ، اكتشفنا 4893 مستودعات خبيثة من أصل 47313
المستودعات التي تم تنزيلها والتحقق منها (أي أن 10,3٪ من المستودعات التي تمت دراستها تحتوي على تعليمات برمجية ضارة). يوضح هذا الشكل انتشارًا مثيرًا للقلق لمثبطات البرامج الثابتة الضارة بين كود الاستغلال الموزع على GitHub.
تم استخدام فحوصات مختلفة لاكتشاف عمليات الاستغلال الضارة:
- تم تحليل رمز الاستغلال بحثًا عن وجود عناوين IP عامة سلكية ، وبعد ذلك تم التحقق من العناوين المحددة بشكل أكبر مقابل قواعد البيانات المدرجة في القائمة السوداء للمضيفين المستخدمة للتحكم في شبكات الروبوت وتوزيع الملفات الضارة.
- تم التحقق من الثغرات المقدمة في شكل مجمع باستخدام برامج مكافحة الفيروسات.
- تم الكشف عن وجود مقالب سداسية عشرية غير نمطية أو إدخالات بتنسيق base64 في الكود ، وبعد ذلك تم فك الشفرات المذكورة ودراستها.
يوصى أيضًا لأولئك المستخدمين الذين يرغبون في إجراء الاختبارات بأنفسهم ، أن يأخذوا مصادر مثل Exploit-DB في المقدمة ، لأن هذه تحاول التحقق من فعالية وشرعية PoC. نظرًا لأنه ، على العكس من ذلك ، فإن الكود العام على منصات مثل GitHub لا يحتوي على عملية التحقق من الاستغلال.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك الرجوع إلى تفاصيل الدراسة في الملف التالي الذي من خلاله أشارك الارتباط الخاص بك.