La manière dont le code malveillant est introduit continue d'évoluer en reprenant les anciennes méthodes et en améliorant la manière dont les victimes sont trompées.
Il paraît que l'idée du cheval de Troie est encore très utile aujourd'hui et de manière si subtile que beaucoup d'entre nous peuvent passer inaperçus et récemment des chercheurs de l'Université de Leiden (Pays-Bas) ont étudié le problème de la publication de prototypes d'exploits fictifs sur GitHub.
L'idée d' utilisez-les pour pouvoir attaquer les utilisateurs curieux qui veulent tester et apprendre comment certaines vulnérabilités peuvent être exploitées avec les outils proposés, rend ce type de situation idéal pour introduire du code malveillant pour attaquer les utilisateurs.
Il est rapporté que dans l'étude Au total, 47.313 XNUMX dépôts d'exploits ont été analysés, couvrant les vulnérabilités connues identifiées de 2017 à 2021. L'analyse des exploits a montré que 4893 10,3 (XNUMX %) d'entre eux contiennent du code qui effectue des actions malveillantes.
Voilà pourquoi les utilisateurs qui décident d'utiliser des exploits publiés sont invités à les examiner en premier rechercher des insertions suspectes et exécuter des exploits uniquement sur des machines virtuelles isolées du système principal.
Les exploits de preuve de concept (PoC) pour les vulnérabilités connues sont largement partagés dans la communauté de la sécurité. Ils aident les analystes de sécurité à apprendre les uns des autres et facilitent les évaluations de sécurité et l'association de réseaux.
Au cours des dernières années, il est devenu très populaire de distribuer des PoC, par exemple via des sites Web et des plates-formes, ainsi que via des référentiels de code publics tels que GitHub. Cependant, les référentiels de code publics ne fournissent aucune garantie qu'un PoC donné provient d'une source fiable ou même qu'il fait exactement ce qu'il est censé faire.
Dans cet article, nous étudions les PoC partagés sur GitHub pour les vulnérabilités connues découvertes en 2017-2021. Nous avons découvert que tous les PoC ne sont pas dignes de confiance.
Au sujet du problème deux principales catégories d'exploits malveillants ont été identifiées: Exploits contenant du code malveillant, par exemple pour accéder au système par porte dérobée, télécharger un cheval de Troie ou connecter une machine à un botnet, et exploits qui collectent et envoient des informations sensibles sur l'utilisateur.
En outre, une classe distincte de faux exploits inoffensifs a également été identifiée qui n'exécutent pas d'actions malveillantes, mais ils ne contiennent pas non plus les fonctionnalités attendues, par exemple, conçu pour tromper ou avertir les utilisateurs qui exécutent du code non vérifié à partir du réseau.
Certaines preuves de concept sont fausses (c'est-à-dire qu'elles n'offrent pas réellement de fonctionnalité PoC), ou
voire malveillants : par exemple, ils tentent d'exfiltrer des données du système sur lequel ils s'exécutent ou tentent d'installer des logiciels malveillants sur ce système.Pour résoudre ce problème, nous avons proposé une approche pour détecter si un PoC est malveillant. Notre approche est basée sur la détection des symptômes que nous avons observés dans l'ensemble de données collectées, par exemple
par exemple, des appels vers des adresses IP malveillantes, du code crypté ou des fichiers binaires contenant des chevaux de Troie.En utilisant cette approche, nous avons découvert 4893 référentiels malveillants sur 47313
référentiels téléchargés et vérifiés (soit 10,3% des référentiels étudiés présentent du code malveillant). Ce chiffre montre une prévalence inquiétante de PoC malveillants dangereux parmi le code d'exploitation distribué sur GitHub.
Diverses vérifications ont été utilisées pour détecter les exploits malveillants :
- Le code d'exploitation a été analysé pour détecter la présence d'adresses IP publiques câblées, après quoi les adresses identifiées ont été vérifiées par rapport aux bases de données d'hôtes sur liste noire utilisées pour contrôler les botnets et distribuer des fichiers malveillants.
- Les exploits fournis sous forme compilée ont été vérifiés avec un logiciel anti-virus.
- La présence de dumps hexadécimaux atypiques ou d'insertions au format base64 a été détectée dans le code, après quoi lesdites insertions ont été décodées et étudiées.
Il est également recommandé aux utilisateurs qui aiment effectuer les tests par eux-mêmes, de privilégier des sources telles que Exploit-DB, car celles-ci tentent de valider l'efficacité et la légitimité des PoC. Puisque, au contraire, le code public sur des plateformes telles que GitHub n'a pas le processus de vérification des exploits.
Enfin si vous souhaitez en savoir plus, vous pouvez consulter le détail de l'étude dans le dossier suivant, à partir duquel vous Je partage votre lien.