La manera com introduir codi maliciós continua evolucionant prenent els antics mètodes i millorant la forma en com enganyar les víctimes
Tal sembla que la idea del cavall de Troia continua sent força útil avui dia i d'una maneres tan subtils que molts podem passar desapercebudes i és que fa poc investigadors de la Universitat de Leiden (Països Baixos) van estudiar el problema de publicar prototips d'exploits ficticis a GitHub.
La idea d' utilitzar aquests per poder atacar els usuaris curiosos que volen provar i conèixer la manera com es poden explotar algunes vulnerabilitats amb les eines ofertes, fa que aquest tipus de situacions siguin les ideals per introduir codi maliciós per atacar els usuaris.
S'informa que a l'estudi es van analitzar un total de 47.313 repositoris d'exploits, que cobreixen vulnerabilitats conegudes identificades des del 2017 fins al 2021. Una anàlisi d'exploits va mostrar que 4893 (10,3%) contenen codi que realitza accions malicioses.
És per això que es recomana als usuaris que decideixin utilitzar exploits publicats que primer els examinin a la recerca d'insercions sospitoses i executin exploits només en màquines virtuals aïllades del sistema principal.
La prova de concepte (PoC) d'exploits per a vulnerabilitats conegudes es comparteix àmpliament a la comunitat de seguretat. Ells ajuden els analistes de seguretat a aprendre els uns dels altres i faciliten avaluacions de seguretat i tasques de xarxa teaming.
Durant els darrers anys, s'ha tornat força popular distribuir els PoC per exemple, a través de llocs web i plataformes, i també a través de repositoris de codis públics com GitHub. No obstant això, els repositoris de codis públics no proporcionen qualsevol garantia que qualsevol PoC donat prové d'una font fiable o fins i tot que simplement fa exactament el que se suposa que deu fer.
En aquest treball investiguem PoC compartits a GitHub per a vulnerabilitats conegudes descobertes el 2017–2021. Descobrim que no tots els PoC són fiables.
Sobre el problema s'han identificat dues categories principals d'exploits maliciosos: exploits que contenen codi maliciós, per exemple, per deixar una porta del darrere al sistema, descarregar un troià o connectar una màquina a una botnet i exploits que recopilen i envien informació confidencial sobre l'usuari.
A més, també es va identificar una classe separada d'exploits falsos inofensius que no realitzen accions malicioses, però tampoc contenen la funcionalitat esperada, per exemple, dissenyats per enganyar o advertir els usuaris que executen codi no verificat des de la xarxa.
Algunes proves de concepte són falsos (és a dir, en realitat no ofereixen funcionalitat PoC), o
fins i tot maliciosos: per exemple, intenten exfiltrar dades del sistema on s'estan executant, o intenten instal·lar malware en aquest sistema.Per abordar aquest problema, hem proposat un enfocament per detectar si un PoC és maliciós. El nostre enfocament es basa en detectar els símptomes que hem observat en el conjunt de dades recopilades, per
exemple, trucades a adreces IP malicioses, codificat de codi, o binaris troianitzats inclosos.Amb aquest enfocament, hem descobert 4893 repositoris maliciosos de 47313
repositoris que s'han descarregat i comprovat (és a dir, el 10,3% dels repositoris estudiats presenten codi maliciós). Aquesta xifra mostra una prevalença preocupant de perillosos PoC maliciosos entre el codi dexplotació distribuït a GitHub.
Es van utilitzar diversos controls per detectar exploits maliciosos:
- El codi d'explotació es va analitzar per detectar la presència d'adreces IP públiques cablejades, i després les adreces identificades es van verificar addicionalment en bases de dades amb llistes negres de hosts utilitzats per controlar botnets i distribuir arxius maliciosos.
- Els exploits proporcionats de forma compilada s'han comprovat amb el programari antivirus.
- Es va detectar en el codi la presència de bolcats hexadecimals atípics o insercions en format base64, i després aquestes insercions van ser descodificades i estudiades.
També es recomana per a aquells usuaris que agraden per realitzar les proves pel seu compte, prenguin en primer pla fonts com Exploit-DB, ja que aquestes intenten validar l'efectivitat i la legitimitat dels PoC. Ja que, per contra, el codi públic a les plataformes com GitHub no tenen el procés de verificació d'exploits.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls de l'estudi al següent arxiu, del qual et comparteixo el vostre enllaç.