Ο τρόπος με τον οποίο εισάγεται ο κακόβουλος κώδικας συνεχίζει να εξελίσσεται ακολουθώντας τις παλιές μεθόδους και βελτιώνοντας τον τρόπο με τον οποίο εξαπατούνται τα θύματα.
Φαίνεται ότι η ιδέα του δούρειου ίππου εξακολουθεί να είναι αρκετά χρήσιμη σήμερα και με τόσο λεπτούς τρόπους που πολλοί από εμάς μπορούν να περάσουν απαρατήρητοι και πρόσφατα ερευνητές από το Πανεπιστήμιο του Leiden (Ολλανδία) μελέτησε το πρόβλημα της δημοσίευσης πλασματικών πρωτοτύπων εκμετάλλευσης στο GitHub.
Η ιδέα της χρησιμοποιήστε αυτά για να μπορέσετε να επιτεθείτε στους περίεργους χρήστες που θέλουν να δοκιμάσουν και να μάθουν πώς μπορούν να εκμεταλλευτούν ορισμένα τρωτά σημεία με τα προσφερόμενα εργαλεία, καθιστά αυτόν τον τύπο κατάστασης ιδανικό για την εισαγωγή κακόβουλου κώδικα για επίθεση στους χρήστες.
Αναφέρεται ότι στη μελέτη Αναλύθηκαν συνολικά 47.313 exploit repositories, καλύπτοντας γνωστά τρωτά σημεία που εντοπίστηκαν από το 2017 έως το 2021. Η ανάλυση Exploit έδειξε ότι 4893 (10,3%) από αυτά περιέχουν κώδικα που εκτελεί κακόβουλες ενέργειες.
Αυτός είναι ο λόγος για τον οποίο Συνιστάται στους χρήστες που αποφασίζουν να χρησιμοποιήσουν δημοσιευμένα exploit να τα εξετάσουν πρώτα ψάχνει για ύποπτα ένθετα και εκτελεί εκμεταλλεύσεις μόνο σε εικονικές μηχανές που έχουν απομονωθεί από το κύριο σύστημα.
Οι εκμεταλλεύσεις Proof of Concept (PoC) για γνωστά τρωτά σημεία μοιράζονται ευρέως στην κοινότητα ασφαλείας. Βοηθούν τους αναλυτές ασφαλείας να μάθουν ο ένας από τον άλλο και διευκολύνουν τις αξιολογήσεις ασφάλειας και τη ομαδοποίηση δικτύου.
Τα τελευταία χρόνια, έχει γίνει αρκετά δημοφιλής η διανομή PoC για παράδειγμα μέσω ιστοτόπων και πλατφορμών, καθώς και μέσω δημόσιων αποθετηρίων κώδικα όπως το GitHub. Ωστόσο, τα δημόσια αποθετήρια κώδικα δεν παρέχουν καμία εγγύηση ότι οποιοδήποτε δεδομένο PoC προέρχεται από μια αξιόπιστη πηγή ή ακόμη ότι κάνει ακριβώς αυτό που υποτίθεται ότι κάνει.
Σε αυτό το έγγραφο, διερευνούμε κοινόχρηστα PoC στο GitHub για γνωστά τρωτά σημεία που ανακαλύφθηκαν το 2017-2021. Ανακαλύψαμε ότι δεν είναι όλα τα PoC αξιόπιστα.
Σχετικά με το πρόβλημα έχουν εντοπιστεί δύο κύριες κατηγορίες κακόβουλων εκμεταλλεύσεων: Εκμεταλλεύσεις που περιέχουν κακόβουλο κώδικα, για παράδειγμα για backdoor του συστήματος, λήψη Trojan ή σύνδεση μηχανής σε botnet και εκμεταλλεύσεις που συλλέγουν και αποστέλλουν ευαίσθητες πληροφορίες σχετικά με τον χρήστη.
Επιπλέον, εντοπίστηκε επίσης μια ξεχωριστή κατηγορία αβλαβών πλαστών εκμεταλλεύσεων που δεν εκτελούν κακόβουλες ενέργειες, αλλά επίσης δεν περιέχουν την αναμενόμενη λειτουργικότητα, για παράδειγμα, σχεδιασμένο για να εξαπατά ή να προειδοποιεί τους χρήστες που εκτελούν μη επαληθευμένο κώδικα από το δίκτυο.
Ορισμένες αποδείξεις ιδέας είναι ψευδείς (δηλαδή δεν προσφέρουν στην πραγματικότητα λειτουργικότητα PoC) ή
ακόμη και κακόβουλο: για παράδειγμα, προσπαθούν να εκμεταλλευτούν δεδομένα από το σύστημα στο οποίο εκτελούνται ή προσπαθούν να εγκαταστήσουν κακόβουλο λογισμικό σε αυτό το σύστημα.Για να αντιμετωπίσουμε αυτό το ζήτημα, έχουμε προτείνει μια προσέγγιση για τον εντοπισμό εάν ένα PoC είναι κακόβουλο. Η προσέγγισή μας βασίζεται στην ανίχνευση των συμπτωμάτων που έχουμε παρατηρήσει στο σύνολο δεδομένων που συλλέγουμε, για
για παράδειγμα, κλήσεις σε κακόβουλες διευθύνσεις IP, κρυπτογραφημένο κώδικα ή συμπεριλαμβανόμενα δυαδικά αρχεία με trojanized.Χρησιμοποιώντας αυτήν την προσέγγιση, ανακαλύψαμε 4893 κακόβουλα αποθετήρια από 47313
αποθετήρια που έχουν ληφθεί και επαληθευτεί (δηλαδή, το 10,3% των αποθετηρίων που μελετήθηκαν παρουσιάζουν κακόβουλο κώδικα). Αυτό το σχήμα δείχνει μια ανησυχητική επικράτηση επικίνδυνων κακόβουλων PoC μεταξύ του κώδικα εκμετάλλευσης που διανέμεται στο GitHub.
Χρησιμοποιήθηκαν διάφοροι έλεγχοι για τον εντοπισμό κακόβουλων εκμεταλλεύσεων:
- Ο κώδικας εκμετάλλευσης αναλύθηκε για την παρουσία ενσύρματων δημόσιων διευθύνσεων IP, μετά την οποία οι προσδιοριζόμενες διευθύνσεις επαληθεύτηκαν περαιτέρω σε βάσεις δεδομένων κεντρικών υπολογιστών στη μαύρη λίστα που χρησιμοποιούνται για τον έλεγχο των botnet και τη διανομή κακόβουλων αρχείων.
- Τα exploits που παρέχονται σε μεταγλωττισμένη μορφή έχουν ελεγχθεί με λογισμικό προστασίας από ιούς.
- Η παρουσία άτυπων δεκαεξαδικών χωματερών ή εισαγωγών σε μορφή base64 εντοπίστηκε στον κώδικα, μετά την οποία οι εν λόγω εισαγωγές αποκωδικοποιήθηκαν και μελετήθηκαν.
Συνιστάται επίσης για εκείνους τους χρήστες που τους αρέσει να πραγματοποιούν τις δοκιμές μόνοι τους, να φέρουν στο προσκήνιο πηγές όπως το Exploit-DB, καθώς αυτές προσπαθούν να επικυρώσουν την αποτελεσματικότητα και τη νομιμότητα των PoC. Δεδομένου ότι, αντίθετα, ο δημόσιος κώδικας σε πλατφόρμες όπως το GitHub δεν έχουν τη διαδικασία επαλήθευσης εκμετάλλευσης.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να συμβουλευτείτε τα στοιχεία της μελέτης στο παρακάτω αρχείο, από το οποίο βρίσκεστε Μοιράζομαι τον σύνδεσμό σας.