Zlonamjerni kod pronađen unutar xploits hostovanih na GitHubu

Darkcrizt

4 minuta

linux trojan

Način na koji se zlonamjerni kod uvodi nastavlja da se razvija uzimajući stare metode i poboljšavajući način na koji su žrtve prevarene.

Čini se da ideja o trojanskom konju je i danas prilično korisna i to na tako suptilne načine da mnogi od nas mogu ostati neprimijećeni i nedavno istraživači sa Univerziteta u Leidenu (Holandija) proučavao je problem objavljivanja fiktivnih prototipova eksploatacije na GitHubu.

Ideja o koristite ih da biste mogli napasti znatiželjne korisnike koji žele da testiraju i nauče kako se neke ranjivosti mogu iskoristiti pomoću ponuđenih alata, čini ovu vrstu situacije idealnom za uvođenje zlonamernog koda za napad na korisnike.

Izvještava se da je u studiji Analizirano je ukupno 47.313 exploit repozitorija, pokrivaju poznate ranjivosti identifikovane od 2017. do 2021. Analiza eksploatacije je pokazala da 4893 (10,3%) njih sadrži kod koji izvodi zlonamerne radnje.

Zbog toga korisnicima koji odluče koristiti objavljene eksploatacije savjetuje se da ih prvo ispitaju traže sumnjive umetke i pokreću eksploatacije samo na virtuelnim mašinama izolovanim od glavnog sistema.

Proof of concept (PoC) eksploatacije za poznate ranjivosti su široko rasprostranjene u bezbednosnoj zajednici. Oni pomažu sigurnosnim analitičarima da uče jedni od drugih i olakšavaju procjenu sigurnosti i umrežavanje mreže.

U posljednjih nekoliko godina postalo je prilično popularno distribuirati PoC-ove, na primjer, putem web stranica i platformi, kao i putem javnih spremišta kodova kao što je GitHub. Međutim, javna spremišta kodova ne daju nikakvu garanciju da bilo koji dati PoC dolazi iz pouzdanog izvora ili čak da jednostavno radi upravo ono što bi trebao.

U ovom radu istražujemo zajedničke PoC-ove na GitHubu za poznate ranjivosti otkrivene u periodu 2017–2021. Otkrili smo da nisu svi PoC-ovi pouzdani.

O problemu identificirane su dvije glavne kategorije zlonamjernih eksploatacija: Eksploatacije koje sadrže zlonamjerni kod, na primjer za backdoor sistema, preuzimanje trojanca ili povezivanje mašine na botnet, i eksploatacije koje prikupljaju i šalju osjetljive informacije o korisniku.

Takođe, takođe je identifikovana posebna klasa bezopasnih lažnih eksploatacija koji ne vrše zlonamjerne radnje, ali takođe ne sadrže očekivanu funkcionalnost, na primjer, dizajniran da prevari ili upozori korisnike koji pokreću neprovjereni kod s mreže.

Neki dokazi koncepta su lažni (tj. oni zapravo ne nude PoC funkcionalnost), ili
čak i zlonamjerni: na primjer, pokušavaju da eksfiltriraju podatke iz sistema na kojem rade ili pokušavaju da instaliraju zlonamjerni softver na taj sistem.

Da bismo riješili ovaj problem, predložili smo pristup za otkrivanje da li je PoC zlonamjeran. Naš pristup se zasniva na otkrivanju simptoma koje smo uočili u prikupljenim podacima, za
na primjer, pozivi na zlonamjerne IP adrese, šifrirani kod ili uključene trojanizirane binarne datoteke.

Koristeći ovaj pristup, otkrili smo 4893 zlonamjerna spremišta od 47313
spremišta koja su preuzeta i provjerena (to jest, 10,3% proučavanih spremišta sadrži zlonamjerni kod). Ova slika pokazuje zabrinjavajuću prevalenciju opasnih zlonamjernih PoC-ova među kodom za eksploataciju koji se distribuira na GitHub-u.

Korištene su različite provjere za otkrivanje zlonamjernih eksploatacija:

  • Eksploatacioni kod je analiziran na prisustvo ožičenih javnih IP adresa, nakon čega su identifikovane adrese dalje verifikovane u odnosu na crne liste baza podataka hostova koji se koriste za kontrolu botneta i distribuciju zlonamernih datoteka.
  • Eksploatacije koje su date u kompajliranom obliku provjerene su antivirusnim softverom.
  • U kodu je otkriveno prisustvo atipičnih heksadecimalnih dumpova ili umetanja u base64 formatu, nakon čega su navedena umetanja dekodirana i proučavana.

Takođe se preporučuje onim korisnicima koji vole da sami sprovode testove, da u prvi plan uzmu izvore kao što je Exploit-DB, jer oni pokušavaju da potvrde efikasnost i legitimnost PoC-ova. Budući da, naprotiv, javni kod na platformama kao što je GitHub nemaju proces provjere eksploatacije.

Konačno ako ste zainteresirani da saznate više o tome, možete pogledati detalje studije u sljedećem fajlu iz kojeg ste Dijelim tvoj link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.