Způsob, jakým je škodlivý kód zaváděn, se nadále vyvíjí, přičemž využívá staré metody a zlepšuje způsob, jakým jsou oběti klamány.
Zdá se, že myšlenka trojského koně je i dnes docela užitečná a tak rafinovanými způsoby, že mnozí z nás mohou zůstat bez povšimnutí a nedávno vědci z univerzity v Leidenu (Nizozemsko) studoval problém publikování fiktivních exploit prototypů na GitHubu.
Myšlenka použijte je, abyste mohli útočit na zvědavé uživatele kteří chtějí otestovat a dozvědět se, jak lze některé zranitelnosti zneužít pomocí nabízených nástrojů, činí tento typ situace ideální pro zavádění škodlivého kódu k útoku na uživatele.
Uvádí se, že ve studii Celkem bylo analyzováno 47.313 XNUMX úložišť exploitů, pokrývající známé zranitelnosti identifikované v letech 2017 až 2021. Analýza zneužití ukázala, že 4893 10,3 (XNUMX %) z nich obsahuje kód, který provádí škodlivé akce.
To je důvod, proč uživatelům, kteří se rozhodnou použít publikované exploity, se doporučuje, aby je nejprve prozkoumali hledat podezřelé vložky a spouštět exploity pouze na virtuálních strojích izolovaných od hlavního systému.
Proof of concept (PoC) zneužití známých zranitelností jsou široce sdíleny v bezpečnostní komunitě. Pomáhají bezpečnostním analytikům učit se jeden od druhého a usnadňují hodnocení bezpečnosti a vytváření síťových týmů.
Za posledních několik let se stalo poměrně populární distribuovat PoC například prostřednictvím webových stránek a platforem a také prostřednictvím veřejných úložišť kódu, jako je GitHub. Veřejná úložiště kódu však neposkytují žádnou záruku, že daný PoC pochází z důvěryhodného zdroje nebo dokonce, že prostě dělá přesně to, co dělat má.
V tomto článku prozkoumáme sdílené PoC na GitHubu na známé zranitelnosti objevené v letech 2017–2021. Zjistili jsme, že ne všechny PoC jsou důvěryhodné.
O problému byly identifikovány dvě hlavní kategorie škodlivých zneužití: Exploity, které obsahují škodlivý kód, například pro backdoor systému, stažení trojského koně nebo připojení stroje k botnetu, a exploity, které shromažďují a odesílají citlivé informace o uživateli.
Navíc, byla také identifikována samostatná třída neškodných falešných exploitů které neprovádějí škodlivé akce, ale také neobsahují očekávanou funkčnost, například navržený tak, aby oklamal nebo varoval uživatele, kteří spouštějí neověřený kód ze sítě.
Některé důkazy konceptu jsou falešné (tj. ve skutečnosti nenabízejí funkcionalitu PoC), popř
dokonce škodlivé: například se snaží exfiltrovat data ze systému, na kterém běží, nebo se pokoušejí do tohoto systému nainstalovat malware.Abychom tento problém vyřešili, navrhli jsme přístup ke zjištění, zda je PoC škodlivý. Náš přístup je založen na detekci příznaků, které jsme pozorovali ve shromážděných souborech dat
například volání na škodlivé IP adresy, šifrovaný kód nebo zahrnuté trojanizované binární soubory.Pomocí tohoto přístupu jsme objevili 4893 škodlivých úložišť z 47313
úložiště, která byla stažena a ověřena (tj. 10,3 % studovaných úložišť obsahuje škodlivý kód). Tento obrázek ukazuje znepokojivou prevalenci nebezpečných škodlivých PoC mezi exploitovým kódem distribuovaným na GitHubu.
K detekci škodlivých zneužití byly použity různé kontroly:
- Exploatační kód byl analyzován na přítomnost kabelových veřejných IP adres, poté byly identifikované adresy dále ověřovány proti databázím hostitelů na černé listině používaných k ovládání botnetů a distribuci škodlivých souborů.
- Exploaty poskytované v kompilované podobě byly zkontrolovány antivirovým softwarem.
- V kódu byla zjištěna přítomnost atypických hexadecimálních výpisů nebo vložení ve formátu base64, načež byly uvedené vložení dekódovány a studovány.
Doporučuje se také těm uživatelům, kteří rádi provádějí testy sami, vezměte do popředí zdroje, jako je Exploit-DB, protože se snaží ověřit efektivitu a legitimitu PoC. Protože naopak veřejný kód na platformách, jako je GitHub, nemá proces ověřování zneužití.
Konečně pokud máte zájem o tom vědět více, podrobnosti ke studiu můžete konzultovat v následujícím souboru, ze kterého si Sdílím váš odkaz.