GitHubissa isännöidyistä xploiteista löytyi haitallista koodia

linux troijalainen

Tapa, jolla haitallista koodia tuodaan, kehittyy edelleen ottamalla vanhoja menetelmiä ja parantamalla tapaa, jolla uhreja huijataan.

Ilmeisesti Troijan hevonen idea on varsin hyödyllinen nykyäänkin ja niin hienovaraisilla tavoilla, että monet meistä voivat jäädä huomaamatta, ja äskettäin Leidenin yliopiston (Alankomaat) tutkijat tutki fiktiivisten hyväksikäyttöprototyyppien julkaisemisen ongelmaa GitHubissa.

Ajatus käytä näitä hyökätäksesi uteliaita käyttäjiä vastaan jotka haluavat testata ja oppia kuinka joitain haavoittuvuuksia voidaan hyödyntää tarjotuilla työkaluilla, tekee tämäntyyppisistä tilanteista ihanteellisen haitallisen koodin tuomiseen käyttäjiä vastaan.

Tutkimuksessa kerrotaan Kaikkiaan 47.313 XNUMX hyödyntämisvarastoa analysoitiin, kattaa tunnetut haavoittuvuudet, jotka tunnistettiin vuosina 2017–2021. Hyökkäysanalyysi osoitti, että 4893 10,3 (XNUMX %) niistä sisältää koodia, joka suorittaa haitallisia toimia.

Siksi Käyttäjiä, jotka päättävät käyttää julkaistuja hyväksikäyttöjä, kehotetaan tutkimaan ne ensin etsii epäilyttäviä lisäyksiä ja suorita hyväksikäyttöä vain pääjärjestelmästä eristetyissä virtuaalikoneissa.

Proof of concept (PoC) -hyödytyksiä tunnettujen haavoittuvuuksien varalta jaetaan laajalti tietoturvayhteisössä. Ne auttavat tietoturva-analyytikoita oppimaan toisiltaan ja helpottavat tietoturva-arviointeja ja verkkoryhmittymistä.

Muutaman viime vuoden aikana on tullut varsin suosittua PoC:iden jakamisesta esimerkiksi verkkosivustojen ja alustojen sekä julkisten koodivarastojen, kuten GitHubin, kautta. Julkiset koodivarastot eivät kuitenkaan anna mitään takeita siitä, että jokin tietty PoC tulee luotetusta lähteestä tai edes siitä, että se yksinkertaisesti tekee juuri sen, mitä sen on tarkoitus tehdä.

Tässä artikkelissa tutkimme GitHubin jaetut PoC:t vuosina 2017–2021 löydettyjen tunnettujen haavoittuvuuksien varalta. Huomasimme, että kaikki PoC:t eivät ole luotettavia.

Tietoja ongelmasta kaksi pääluokkaa haitallisia hyväksikäyttöjä on tunnistettu: Haitallista koodia sisältävät hyväksikäytöt, esimerkiksi järjestelmän takaoven avaamiseen, troijalaisen lataamiseen tai koneen yhdistämiseen botnet-verkkoon, sekä hyväksikäytöt, jotka keräävät ja lähettävät käyttäjästä arkaluonteisia tietoja.

Lisäksi, tunnistettiin myös erillinen vaarattomien väärennösten luokka jotka eivät suorita haitallisia toimia, mutta ne eivät myöskään sisällä odotettuja toimintoja, joka on suunniteltu esimerkiksi huijaamaan tai varoittamaan käyttäjiä, jotka käyttävät vahvistamatonta koodia verkosta.

Jotkut konseptin todisteet ovat vääriä (eli ne eivät itse asiassa tarjoa PoC-toimintoja) tai
jopa haitallisia: he esimerkiksi yrittävät suodattaa tietoja järjestelmästä, jossa he käyttävät, tai yrittävät asentaa haittaohjelmia kyseiseen järjestelmään.

Tämän ongelman ratkaisemiseksi olemme ehdottaneet lähestymistapaa sen havaitsemiseksi, onko PoC haitallinen. Lähestymistapamme perustuu niiden oireiden havaitsemiseen, joita olemme havainneet kerätyssä tietojoukossa
esimerkiksi kutsut haitallisiin IP-osoitteisiin, salattu koodi tai mukana olevat troijalaiset binaarit.

Tätä lähestymistapaa käyttämällä olemme havainneet 4893 haitallista tietovarastoa 47313:sta.
arkistot, jotka on ladattu ja tarkistettu (eli 10,3 % tutkituista tietovarastoista sisältää haitallista koodia). Tämä kuva osoittaa vaarallisten haitallisten PoC:iden huolestuttavan yleisyyden GitHubissa levitetyn hyväksikäyttökoodin joukossa.

Haitallisten hyväksikäyttöjen havaitsemiseen käytettiin erilaisia ​​tarkistuksia:

  • Hyödyntämiskoodi analysoitiin langallisten julkisten IP-osoitteiden esiintymisen varalta, minkä jälkeen tunnistetut osoitteet varmennettiin edelleen vastaan ​​mustalla listalla olevia isäntien tietokantoja, joita käytettiin botnettien hallintaan ja haitallisten tiedostojen levittämiseen.
  • Käännetyssä muodossa toimitetut hyödyt on tarkistettu virustorjuntaohjelmistolla.
  • Epätyypillisten heksadesimaalivedosten tai lisäysten esiintyminen base64-muodossa havaittiin koodissa, minkä jälkeen mainitut lisäykset dekoodattiin ja tutkittiin.

Sitä suositellaan myös käyttäjille, jotka haluavat suorittaa testit itse, ottavat lähteet, kuten Exploit-DB, etusijalle, koska ne yrittävät vahvistaa PoC:iden tehokkuutta ja legitiimiyttä. Koska päinvastoin GitHubin kaltaisten alustojen julkisella koodilla ei ole hyväksikäyttövarmennusprosessia.

Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tutustua tutkimuksen yksityiskohtiin seuraavassa tiedostossa, josta voit jaan linkkisi.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.