Die Art und Weise, wie bösartiger Code eingeführt wird, entwickelt sich weiter, indem die alten Methoden übernommen und die Art und Weise verbessert werden, wie die Opfer getäuscht werden.
Es scheint, dass Die Idee des Trojanischen Pferdes ist auch heute noch sehr nützlich und auf so subtile Weise, dass viele von uns unbemerkt bleiben und kürzlich Forscher der Universität Leiden (Niederlande) untersuchte das Problem der Veröffentlichung von fiktiven Exploit-Prototypen auf GitHub.
Die Idee, Verwenden Sie diese, um neugierige Benutzer anzugreifen die testen und erfahren möchten, wie einige Schwachstellen mit den angebotenen Tools ausgenutzt werden können, ist diese Art von Situation ideal, um Benutzer mit bösartigem Code anzugreifen.
Das wird in der Studie berichtet Insgesamt wurden 47.313 Exploit-Repositories analysiert, Abdeckung bekannter Schwachstellen, die zwischen 2017 und 2021 identifiziert wurden. Die Exploit-Analyse zeigte, dass 4893 (10,3 %) von ihnen Code enthalten, der böswillige Aktionen ausführt.
Darum Benutzern, die sich entscheiden, veröffentlichte Exploits zu verwenden, wird empfohlen, diese zuerst zu prüfen Suchen Sie nach verdächtigen Einfügungen und führen Sie Exploits nur auf virtuellen Maschinen aus, die vom Hauptsystem isoliert sind.
Proof-of-Concept (PoC)-Exploits für bekannte Schwachstellen werden in der Sicherheits-Community häufig geteilt. Sie helfen Sicherheitsanalysten, voneinander zu lernen, und erleichtern Sicherheitsbewertungen und Netzwerkteaming.
In den letzten Jahren ist es sehr beliebt geworden, PoCs zum Beispiel über Websites und Plattformen und auch über öffentliche Code-Repositories wie GitHub zu verteilen. Öffentliche Code-Repositories bieten jedoch keine Garantie dafür, dass ein bestimmter PoC aus einer vertrauenswürdigen Quelle stammt oder dass er einfach genau das tut, was er tun soll.
In diesem Whitepaper untersuchen wir gemeinsam genutzte PoCs auf GitHub auf bekannte Schwachstellen, die zwischen 2017 und 2021 entdeckt wurden. Wir haben festgestellt, dass nicht alle PoCs vertrauenswürdig sind.
Über das Problem Es wurden zwei Hauptkategorien bösartiger Exploits identifiziert: Exploits, die bösartigen Code enthalten, um beispielsweise das System durch eine Hintertür zu öffnen, einen Trojaner herunterzuladen oder einen Computer mit einem Botnetz zu verbinden, und Exploits, die vertrauliche Informationen über den Benutzer sammeln und senden.
Zusätzlich Eine separate Klasse harmloser gefälschter Exploits wurde ebenfalls identifiziert die keine böswilligen Handlungen ausführen, aber sie enthalten auch nicht die erwartete Funktionalität, zum Beispiel, um Benutzer zu täuschen oder zu warnen, die unverifizierten Code aus dem Netzwerk ausführen.
Einige Proofs of Concept sind gefälscht (d.h. sie bieten eigentlich keine PoC-Funktionalität), oder
sogar böswillig: Sie versuchen beispielsweise, Daten von dem System, auf dem sie ausgeführt werden, zu exfiltrieren oder Malware auf diesem System zu installieren.Um dieses Problem anzugehen, haben wir einen Ansatz vorgeschlagen, um zu erkennen, ob ein PoC bösartig ist. Unser Ansatz basiert auf der Erkennung der Symptome, die wir im gesammelten Datensatz beobachtet haben, z
B. Aufrufe bösartiger IP-Adressen, verschlüsselter Code oder enthaltene trojanisierte Binärdateien.Mit diesem Ansatz haben wir 4893 bösartige Repositories von 47313 entdeckt
Repositorys, die heruntergeladen und verifiziert wurden (das heißt, 10,3 % der untersuchten Repositorys enthalten bösartigen Code). Diese Abbildung zeigt eine besorgniserregende Prävalenz gefährlicher bösartiger PoCs unter dem auf GitHub verteilten Exploit-Code.
Verschiedene Überprüfungen wurden verwendet, um bösartige Exploits zu erkennen:
- Der Exploit-Code wurde auf das Vorhandensein verdrahteter öffentlicher IP-Adressen analysiert, wonach die identifizierten Adressen weiter mit Datenbanken auf der schwarzen Liste von Hosts verglichen wurden, die zur Kontrolle von Botnets und zur Verbreitung bösartiger Dateien verwendet werden.
- Die in kompilierter Form bereitgestellten Exploits wurden mit Antivirensoftware überprüft.
- Das Vorhandensein atypischer hexadezimaler Dumps oder Einfügungen im Base64-Format wurde im Code erkannt, wonach die Einfügungen decodiert und untersucht wurden.
Auch für diejenigen Nutzer, die die Tests gerne selbst durchführen, empfiehlt es sich, Quellen wie Exploit-DB in den Vordergrund zu rücken, da diese versuchen, die Wirksamkeit und Legitimität von PoCs zu validieren. Da im Gegensatz dazu der öffentliche Code auf Plattformen wie GitHub keinen Exploit-Verifizierungsprozess hat.
Schließlich wenn Sie mehr darüber wissen möchten, können Sie die Einzelheiten der Studie in der folgenden Datei einsehen, aus der Sie Ich teile deinen Link.