Måden, hvorpå ondsindet kode introduceres, udvikler sig fortsat ved at tage de gamle metoder og forbedre den måde, hvorpå ofrene bliver bedraget.
Det lader til, at den trojanske hest-idé er stadig ret nyttig i dag og på så subtile måder, at mange af os kan gå ubemærket hen, og for nylig forskere fra University of Leiden (Holland) undersøgte problemet med at udgive fiktive exploit-prototyper på GitHub.
Ideen bruge disse til at kunne angribe nysgerrige brugere som ønsker at teste og lære, hvordan nogle sårbarheder kan udnyttes med de tilbudte værktøjer, gør denne type situation ideel til at introducere ondsindet kode for at angribe brugere.
Det er rapporteret, at i undersøgelsen I alt 47.313 udnyttelsesdepoter blev analyseret, dækker kendte sårbarheder identificeret fra 2017 til 2021. Udnyttelsesanalyse viste, at 4893 (10,3%) af dem indeholder kode, der udfører ondsindede handlinger.
Det er derfor brugere, der beslutter sig for at bruge offentliggjorte udnyttelser, rådes til at undersøge dem først leder efter mistænkelige inserts og kører exploits kun på virtuelle maskiner, der er isoleret fra hovedsystemet.
Proof of concept (PoC)-udnyttelser til kendte sårbarheder er meget udbredt i sikkerhedssamfundet. De hjælper sikkerhedsanalytikere med at lære af hinanden og letter sikkerhedsvurderinger og netværkssamarbejde.
I løbet af de sidste par år er det blevet ret populært at distribuere PoC'er for eksempel gennem websteder og platforme, og også gennem offentlige kodelagre som GitHub. Offentlige kodelagre giver dog ingen garanti for, at en given PoC kommer fra en pålidelig kilde, eller endda at den simpelthen gør præcis, hvad den skal.
I dette papir undersøger vi delte PoC'er på GitHub for kendte sårbarheder opdaget i 2017-2021. Vi opdagede, at ikke alle PoC'er er troværdige.
Om problemet to hovedkategorier af ondsindet udnyttelse er blevet identificeret: Udnyttelse, der indeholder ondsindet kode, for eksempel til at bagdøre systemet, downloade en trojaner eller forbinde en maskine til et botnet, og udnyttelser, der indsamler og sender følsomme oplysninger om brugeren.
Derudover en separat klasse af harmløse falske bedrifter blev også identificeret der ikke udfører ondsindede handlinger, men de indeholder heller ikke den forventede funktionalitet, for eksempel designet til at narre eller advare brugere, der kører ubekræftet kode fra netværket.
Nogle proofs of concept er falske (dvs. de tilbyder faktisk ikke PoC-funktionalitet), eller
selv ondsindet: for eksempel forsøger de at eksfiltrere data fra det system, de kører på, eller forsøger at installere malware på det system.For at løse dette problem har vi foreslået en tilgang til at opdage, om en PoC er ondsindet. Vores tilgang er baseret på at opdage de symptomer, som vi har observeret i det indsamlede datasæt, for
for eksempel opkald til ondsindede IP-adresser, krypteret kode eller inkluderede trojanske binære filer.Ved at bruge denne tilgang har vi opdaget 4893 ondsindede depoter ud af 47313
arkiver, der er blevet downloadet og verificeret (det vil sige, at 10,3 % af de undersøgte arkiver præsenterer ondsindet kode). Denne figur viser en bekymrende forekomst af farlige ondsindede PoC'er blandt udnyttelseskoden distribueret på GitHub.
Forskellige kontroller blev brugt til at opdage ondsindet udnyttelse:
- Udnyttelseskoden blev analyseret for tilstedeværelsen af kablede offentlige IP-adresser, hvorefter de identificerede adresser blev yderligere verificeret mod sortlistede databaser af værter, der blev brugt til at kontrollere botnets og distribuere ondsindede filer.
- De udnyttelser, der leveres i kompileret form, er blevet kontrolleret med antivirussoftware.
- Tilstedeværelsen af atypiske hexadecimale dumps eller indsættelser i base64-format blev detekteret i koden, hvorefter de nævnte indsættelser blev afkodet og undersøgt.
Det anbefales også til de brugere, der kan lide at udføre testene på egen hånd, at tage kilder som Exploit-DB på banen, da disse forsøger at validere effektiviteten og legitimiteten af PoC'er. Da den offentlige kode på platforme som GitHub tværtimod ikke har udnyttelsesverifikationsprocessen.
Endelig hvis du er interesseret i at vide mere om det, kan du konsultere detaljerne i undersøgelsen i den følgende fil, hvorfra du Jeg deler dit link.