Начинът, по който се въвежда зловреден код, продължава да се развива, като се използват старите методи и се подобрява начинът, по който жертвите биват измамени.
Изглежда че идеята за троянския кон е все още доста полезна днес и по толкова фини начини, че много от нас могат да останат незабелязани и наскоро изследователи от университета в Лайден (Холандия) проучи проблема с публикуването на фиктивни прототипи на експлойт в GitHub.
Идеята на използвайте ги, за да можете да атакувате любопитни потребители които искат да тестват и да научат как някои уязвимости могат да бъдат експлоатирани с предлаганите инструменти, прави този тип ситуация идеална за въвеждане на зловреден код за атака на потребителите.
Съобщава се, че в изследването Бяха анализирани общо 47.313 XNUMX експлойт хранилища, обхващащи известни уязвимости, идентифицирани от 2017 до 2021 г. Анализът на експлойта показа, че 4893 (10,3%) от тях съдържат код, който извършва злонамерени действия.
Ето защо потребителите, които решат да използват публикувани експлойтове, се съветват първо да ги проучат търсене на подозрителни вмъквания и стартиране на експлойти само на виртуални машини, изолирани от основната система.
Доказателство за концептуални експлойти (PoC) за известни уязвимости се споделят широко в общността за сигурност. Те помагат на анализаторите на сигурността да се учат един от друг и улесняват оценките на сигурността и обединяването в мрежата.
През последните няколко години стана доста популярно да се разпространяват PoC, например чрез уебсайтове и платформи, а също и чрез публични хранилища на код като GitHub. Въпреки това публичните хранилища на кодове не предоставят никаква гаранция, че всеки даден PoC идва от доверен източник или дори че просто прави точно това, което трябва да прави.
В този документ ние изследваме споделени PoC в GitHub за известни уязвимости, открити през 2017–2021 г. Открихме, че не всички PoC са надеждни.
Относно проблема идентифицирани са две основни категории злонамерени експлойти: Експлойти, които съдържат зловреден код, например за задната врата на системата, изтегляне на троянски кон или свързване на машина към ботнет, както и експлойти, които събират и изпращат поверителна информация за потребителя.
Освен това, беше идентифициран и отделен клас безвредни фалшиви експлойти които не извършват злонамерени действия, но също така не съдържат очакваната функционалност, например, предназначен да подведе или предупреди потребители, които изпълняват непроверен код от мрежата.
Някои доказателства за концепцията са фалшиви (т.е. те всъщност не предлагат PoC функционалност), или
дори злонамерени: например те се опитват да извлекат данни от системата, на която работят, или се опитват да инсталират зловреден софтуер на тази система.За да разрешим този проблем, предложихме подход за откриване дали PoC е злонамерен. Нашият подход се основава на откриване на симптомите, които сме наблюдавали в събрания набор от данни, за
например обаждания към злонамерени IP адреси, криптиран код или включени троянизирани двоични файлове.Използвайки този подход, открихме 4893 злонамерени хранилища от 47313
хранилища, които са изтеглени и проверени (т.е. 10,3% от изследваните хранилища съдържат зловреден код). Тази фигура показва тревожно разпространение на опасни злонамерени PoC сред експлойт кода, разпространяван в GitHub.
Бяха използвани различни проверки за откриване на злонамерени експлойти:
- Кодът на експлойта беше анализиран за наличието на кабелни публични IP адреси, след което идентифицираните адреси бяха допълнително проверени спрямо бази данни от черни списъци на хостове, използвани за контрол на ботнети и разпространение на злонамерени файлове.
- Експлойтите, предоставени в компилиран вид, са проверени с антивирусен софтуер.
- Наличието на нетипични шестнадесетични изхвърляния или вмъквания във формат base64 беше открито в кода, след което споменатите вмъквания бяха декодирани и проучени.
Също така се препоръчва за онези потребители, които обичат да извършват тестовете сами, да изведат на преден план източници като Exploit-DB, тъй като те се опитват да потвърдят ефективността и легитимността на PoC. Тъй като, напротив, публичният код на платформи като GitHub няма процес на проверка на експлойта.
Накрая ако се интересувате да научите повече за това, можете да се запознаете с подробностите на изследването в следния файл, от който вие Споделям вашия линк.