Zlonamjerni kod pronađen unutar xploitsa hostiranih na GitHubu

Čini se da je ideja o trojanskom konju i danas je vrlo korisna i to na tako suptilne načine da mnogi od nas mogu proći nezapaženo, a nedavno su istraživači sa Sveučilišta u Leidenu (Nizozemska) proučavao problem objavljivanja fiktivnih prototipova exploita na GitHubu.

Ideja koristite ih kako biste mogli napadati znatiželjne korisnike koji žele testirati i naučiti kako se neke ranjivosti mogu iskoristiti s ponuđenim alatima, čini ovu vrstu situacije idealnom za uvođenje zlonamjernog koda za napad na korisnike.

Izvještava se da je u studiji Analizirano je ukupno 47.313 exploit repozitorija, pokriva poznate ranjivosti identificirane od 2017. do 2021. Analiza zloporabe pokazala je da njih 4893 (10,3%) sadrži kod koji izvodi zlonamjerne radnje.

Zbog toga korisnicima koji se odluče koristiti objavljene eksploatacije savjetuje se da ih prvo ispitaju traženje sumnjivih umetaka i pokretanje exploita samo na virtualnim strojevima izoliranim od glavnog sustava.

Iskorištavanje dokaza koncepta (PoC) za poznate ranjivosti naširoko se dijeli u sigurnosnoj zajednici. Oni pomažu sigurnosnim analitičarima da uče jedni od drugih i olakšavaju sigurnosne procjene i umrežavanje.

Tijekom posljednjih nekoliko godina postalo je prilično popularno distribuirati PoC-ove, na primjer, putem web stranica i platformi, kao i putem javnih repozitorija koda poput GitHuba. Međutim, javna spremišta kodova ne daju nikakvo jamstvo da bilo koji PoC dolazi iz pouzdanog izvora ili čak da jednostavno radi točno ono što bi trebao raditi.

U ovom radu istražujemo zajedničke PoC-ove na GitHubu radi poznatih ranjivosti otkrivenih 2017.–2021. Otkrili smo da nisu svi PoC-ovi pouzdani.

O problemu identificirane su dvije glavne kategorije zlonamjernih iskorištavanja: Eksploatacije koje sadrže zlonamjerni kod, na primjer za backdoor sustava, preuzimanje trojanca ili povezivanje stroja s botnet mrežom, te eksploatacije koje prikupljaju i šalju osjetljive podatke o korisniku.

Osim toga, identificirana je i zasebna klasa bezopasnih lažnih podviga koji ne vrše zlonamjerne radnje, ali također ne sadrže očekivanu funkcionalnost, na primjer, dizajniran da prevari ili upozori korisnike koji pokreću neprovjereni kod s mreže.

Neki dokazi koncepta su lažni (tj. oni zapravo ne nude PoC funkcionalnost), ili
čak i zlonamjerni: na primjer, pokušavaju izvući podatke iz sustava na kojem rade ili pokušavaju instalirati zlonamjerni softver na taj sustav.

Kako bismo riješili ovaj problem, predložili smo pristup za otkrivanje je li PoC zlonamjeran. Naš pristup temelji se na otkrivanju simptoma koje smo uočili u skupu prikupljenih podataka, za
na primjer, pozivi na zlonamjerne IP adrese, šifrirani kod ili uključene trojanizirane binarne datoteke.

Koristeći ovaj pristup, otkrili smo 4893 zlonamjerna spremišta od 47313
repozitorija koja su preuzeta i provjerena (odnosno, 10,3% proučavanih repozitorija sadrži zlonamjerni kod). Ova brojka pokazuje zabrinjavajuću prevalenciju opasnih zlonamjernih PoC-ova među eksploatacijskim kodom distribuiranim na GitHubu.

Korištene su različite provjere za otkrivanje zlonamjernih iskorištavanja:

• Eksploatacijski kod je analiziran na prisutnost ožičenih javnih IP adresa, nakon čega su identificirane adrese dodatno provjerene u odnosu na baze podataka hostova na crnoj listi koji se koriste za kontrolu botneta i distribuciju zlonamjernih datoteka.
• Eksploatacije navedene u kompajliranom obliku provjerene su antivirusnim softverom.
• U kodu je detektirana prisutnost atipičnih heksadecimalnih ispisa ili umetanja u formatu base64, nakon čega su navedena umetanja dekodirana i proučavana.

Također se preporučuje za one korisnike koji vole sami provoditi testove, da izvore kao što je Exploit-DB stave u prvi plan, jer oni pokušavaju potvrditi učinkovitost i legitimnost PoC-ova. Budući da, naprotiv, javni kod na platformama kao što je GitHub nema postupak provjere iskorištavanja.

Konačno ako vas zanima više o tome, pojedinosti studije možete vidjeti u sljedećoj datoteci iz koje Dijelim tvoj link.