গিটহাবে হোস্ট করা এক্সপ্লোইটসের ভিতরে দূষিত কোড পাওয়া গেছে

এটা মনে হচ্ছে যে ট্রোজান হর্স ধারণা আজও বেশ কার্যকর এবং এমন সূক্ষ্ম উপায়ে যে আমাদের অনেকেরই নজরে পড়ে না এবং সম্প্রতি ইউনিভার্সিটি অফ লিডেন (দ্য নেদারল্যান্ডস) এর গবেষকরা গিটহাবে কাল্পনিক শোষণের প্রোটোটাইপ প্রকাশের সমস্যা অধ্যয়ন করেছে।

এর ধারণা কৌতূহলী ব্যবহারকারীদের আক্রমণ করতে সক্ষম হতে এইগুলি ব্যবহার করুন যারা পরীক্ষা করতে চান এবং শিখতে চান যে কীভাবে কিছু দুর্বলতাকে প্রস্তাবিত সরঞ্জামগুলির সাহায্যে কাজে লাগানো যায়, তারা ব্যবহারকারীদের আক্রমণ করার জন্য দূষিত কোড প্রবর্তনের জন্য এই ধরনের পরিস্থিতিকে আদর্শ করে তোলে।

গবেষণায় এমনটাই জানা গেছে মোট 47.313টি শোষণ ভান্ডার বিশ্লেষণ করা হয়েছিল, 2017 থেকে 2021 পর্যন্ত চিহ্নিত দুর্বলতাগুলিকে কভার করা৷ শোষণ বিশ্লেষণে দেখা গেছে যে তাদের মধ্যে 4893 (10,3%) কোড রয়েছে যা দূষিত ক্রিয়া সম্পাদন করে৷

এটা কেন যে ব্যবহারকারীরা প্রকাশিত শোষণ ব্যবহার করার সিদ্ধান্ত নেয় তাদের প্রথমে সেগুলি পরীক্ষা করার পরামর্শ দেওয়া হয় সন্দেহজনক সন্নিবেশ খুঁজছেন এবং শুধুমাত্র মূল সিস্টেম থেকে বিচ্ছিন্ন ভার্চুয়াল মেশিনে শোষণ চালান।

পরিচিত দুর্বলতার জন্য ধারণার প্রমাণ (PoC) শোষণগুলি নিরাপত্তা সম্প্রদায়ে ব্যাপকভাবে ভাগ করা হয়। তারা নিরাপত্তা বিশ্লেষকদের একে অপরের কাছ থেকে শিখতে এবং নিরাপত্তা মূল্যায়ন এবং নেটওয়ার্ক টিমিং সহজতর করতে সহায়তা করে।

গত কয়েক বছরে, ওয়েবসাইট এবং প্ল্যাটফর্মের মাধ্যমে এবং গিটহাবের মতো পাবলিক কোড রিপোজিটরির মাধ্যমেও PoC বিতরণ করা বেশ জনপ্রিয় হয়ে উঠেছে। যাইহোক, পাবলিক কোড রিপোজিটরিগুলি এমন কোনও গ্যারান্টি দেয় না যে কোনও প্রদত্ত PoC একটি বিশ্বস্ত উত্স থেকে আসে বা এমনকি এটি যা করার কথা ঠিক তা করে।

এই কাগজে, আমরা 2017-2021 সালে আবিষ্কৃত পরিচিত দুর্বলতার জন্য GitHub-এ শেয়ার করা PoCs তদন্ত করেছি। আমরা আবিষ্কার করেছি যে সমস্ত PoC বিশ্বাসযোগ্য নয়।

সমস্যা সম্পর্কে দূষিত শোষণের দুটি প্রধান বিভাগ চিহ্নিত করা হয়েছে: দূষিত কোড ধারণ করে এমন শোষণ, উদাহরণস্বরূপ সিস্টেমের ব্যাকডোর, একটি ট্রোজান ডাউনলোড করা, বা একটি মেশিনকে একটি বটনেটের সাথে সংযুক্ত করা এবং ব্যবহারকারীর সম্পর্কে সংবেদনশীল তথ্য সংগ্রহ করে এবং পাঠায়।

উপরন্তু, নিরীহ জাল শোষণের একটি পৃথক শ্রেণিও চিহ্নিত করা হয়েছিল যে দূষিত কর্ম সঞ্চালন না, কিন্তু তারা প্রত্যাশিত কার্যকারিতা ধারণ করে না, উদাহরণস্বরূপ, নেটওয়ার্ক থেকে অযাচাইকৃত কোড চালানো ব্যবহারকারীদের প্রতারণা বা সতর্ক করার জন্য ডিজাইন করা হয়েছে।

ধারণার কিছু প্রমাণ জাল (যেমন তারা আসলে PoC কার্যকারিতা অফার করে না), অথবা
এমনকি দূষিত: উদাহরণস্বরূপ, তারা যে সিস্টেমে চলছে সেখান থেকে ডেটা বের করার চেষ্টা করে বা সেই সিস্টেমে ম্যালওয়্যার ইনস্টল করার চেষ্টা করে।

এই সমস্যাটি সমাধান করার জন্য, আমরা একটি PoC ক্ষতিকারক কিনা তা সনাক্ত করার জন্য একটি পদ্ধতির প্রস্তাব করেছি। আমাদের পদ্ধতির উপর ভিত্তি করে উপসর্গ সনাক্ত করা হয় যা আমরা সংগৃহীত ডেটা সেটে লক্ষ্য করেছি, এর জন্য
উদাহরণস্বরূপ, ক্ষতিকারক আইপি ঠিকানা, এনক্রিপ্ট করা কোড বা ট্রোজানাইজড বাইনারিগুলিতে কল করা।

এই পদ্ধতি ব্যবহার করে, আমরা 4893টির মধ্যে 47313টি দূষিত সংগ্রহস্থল আবিষ্কার করেছি
যে সংগ্রহস্থলগুলি ডাউনলোড এবং যাচাই করা হয়েছে (অর্থাৎ, 10,3% সংগ্রহস্থলগুলি বর্তমান দূষিত কোড অধ্যয়ন করেছে)। এই চিত্রটি GitHub-এ বিতরণ করা শোষণ কোডের মধ্যে বিপজ্জনক দূষিত PoCs-এর উদ্বেগজনক প্রচলন দেখায়।

দূষিত শোষণ সনাক্ত করতে বিভিন্ন চেক ব্যবহার করা হয়েছিল:

• তারযুক্ত পাবলিক আইপি ঠিকানাগুলির উপস্থিতির জন্য শোষণ কোডটি বিশ্লেষণ করা হয়েছিল, তারপরে চিহ্নিত ঠিকানাগুলি বোটনেটগুলি নিয়ন্ত্রণ করতে এবং দূষিত ফাইলগুলি বিতরণ করতে ব্যবহৃত হোস্টগুলির কালো তালিকাভুক্ত ডাটাবেসের বিরুদ্ধে আরও যাচাই করা হয়েছিল।
• সংকলিত আকারে দেওয়া শোষণগুলি অ্যান্টি-ভাইরাস সফ্টওয়্যার দিয়ে পরীক্ষা করা হয়েছে।
• বেস64 ফর্ম্যাটে অ্যাটিপিকাল হেক্সাডেসিমাল ডাম্প বা সন্নিবেশের উপস্থিতি কোডে সনাক্ত করা হয়েছিল, তারপরে বলা হয়েছে যে সন্নিবেশগুলি ডিকোড করা হয়েছিল এবং অধ্যয়ন করা হয়েছিল।

এটি সেই সমস্ত ব্যবহারকারীদের জন্যও সুপারিশ করা হয় যারা নিজেরাই পরীক্ষা করতে চান, এক্সপ্লয়েট-ডিবি-এর মতো উত্সগুলিকে সামনে নিয়ে যান, কারণ এগুলি PoC-এর কার্যকারিতা এবং বৈধতা যাচাই করার চেষ্টা করে৷ যেহেতু, বিপরীতে, GitHub-এর মতো প্ল্যাটফর্মের পাবলিক কোডে শোষণ যাচাইকরণ প্রক্রিয়া নেই।

পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি নিম্নলিখিত ফাইলে অধ্যয়নের বিশদ বিবরণের সাথে পরামর্শ করতে পারেন, যেখান থেকে আপনি আমি আপনার লিঙ্ক শেয়ার.