Cara memasukkan kode berbahaya terus berkembang dengan mengambil metode lama dan meningkatkan cara korban ditipu.
Tampaknya ide kuda Troya masih cukup berguna saat ini dan dengan cara yang begitu halus sehingga banyak dari kita tidak diperhatikan dan baru-baru ini peneliti dari Universitas Leiden (Belanda) mempelajari masalah penerbitan prototipe eksploit fiktif di GitHub.
Gagasan gunakan ini untuk dapat menyerang pengguna yang penasaran yang ingin menguji dan mempelajari bagaimana beberapa kerentanan dapat dieksploitasi dengan alat yang ditawarkan, membuat situasi seperti ini ideal untuk memperkenalkan kode berbahaya untuk menyerang pengguna.
Dilaporkan bahwa dalam studi Sebanyak 47.313 repositori eksploit dianalisis, mencakup kerentanan yang diketahui yang diidentifikasi dari 2017 hingga 2021. Analisis eksploitasi menunjukkan bahwa 4893 (10,3%) di antaranya berisi kode yang melakukan tindakan jahat.
Itulah sebabnya pengguna yang memutuskan untuk menggunakan eksploitasi yang dipublikasikan disarankan untuk memeriksanya terlebih dahulu mencari sisipan yang mencurigakan dan menjalankan eksploitasi hanya pada mesin virtual yang diisolasi dari sistem utama.
Eksploitasi Proof of concept (PoC) untuk kerentanan yang diketahui dibagikan secara luas di komunitas keamanan. Mereka membantu analis keamanan belajar dari satu sama lain dan memfasilitasi penilaian keamanan dan kerja sama jaringan.
Selama beberapa tahun terakhir, telah menjadi sangat populer untuk mendistribusikan PoC misalnya melalui situs web dan platform, dan juga melalui repositori kode publik seperti GitHub. Namun, repositori kode publik tidak memberikan jaminan apa pun bahwa PoC yang diberikan berasal dari sumber tepercaya atau bahkan hanya melakukan apa yang seharusnya dilakukan.
Dalam makalah ini, kami menyelidiki PoC bersama di GitHub untuk mengetahui kerentanan yang ditemukan pada 2017–2021. Kami menemukan bahwa tidak semua PoC dapat dipercaya.
Tentang masalahnya dua kategori utama eksploitasi berbahaya telah diidentifikasi: Eksploitasi yang mengandung kode berbahaya, misalnya untuk backdoor sistem, mengunduh Trojan, atau menghubungkan mesin ke botnet, dan eksploit yang mengumpulkan dan mengirim informasi sensitif tentang pengguna.
Selain itu, kelas terpisah dari eksploitasi palsu yang tidak berbahaya juga diidentifikasi yang tidak melakukan tindakan jahat, tetapi mereka juga tidak mengandung fungsionalitas yang diharapkan, misalnya, dirancang untuk mengelabui atau memperingatkan pengguna yang menjalankan kode yang belum diverifikasi dari jaringan.
Beberapa bukti konsep palsu (yaitu mereka tidak benar-benar menawarkan fungsionalitas PoC), atau
bahkan berbahaya: misalnya, mereka mencoba mengekstrak data dari sistem yang mereka jalankan, atau mencoba memasang malware di sistem itu.Untuk mengatasi masalah ini, kami telah mengusulkan pendekatan untuk mendeteksi apakah PoC berbahaya. Pendekatan kami didasarkan pada pendeteksian gejala yang telah kami amati dalam kumpulan data yang dikumpulkan, untuk:
misalnya, panggilan ke alamat IP berbahaya, kode terenkripsi, atau menyertakan binari trojan.Dengan menggunakan pendekatan ini, kami telah menemukan 4893 repositori berbahaya dari 47313
repositori yang telah diunduh dan diverifikasi (yaitu, 10,3% dari repositori yang dipelajari menyajikan kode berbahaya). Angka ini menunjukkan prevalensi yang mengkhawatirkan dari PoC berbahaya yang berbahaya di antara kode eksploitasi yang didistribusikan di GitHub.
Berbagai pemeriksaan digunakan untuk mendeteksi eksploitasi berbahaya:
- Kode eksploitasi dianalisis untuk keberadaan alamat IP publik kabel, setelah itu alamat yang diidentifikasi diverifikasi lebih lanjut terhadap database host yang masuk daftar hitam yang digunakan untuk mengontrol botnet dan mendistribusikan file berbahaya.
- Eksploitasi yang disediakan dalam bentuk terkompilasi telah diperiksa dengan perangkat lunak anti-virus.
- Kehadiran dump atau penyisipan heksadesimal atipikal dalam format base64 terdeteksi dalam kode, setelah itu penyisipan tersebut didekodekan dan dipelajari.
Direkomendasikan juga bagi pengguna yang suka melakukan pengujian sendiri, gunakan sumber seperti Exploit-DB, karena ini mencoba memvalidasi keefektifan dan legitimasi PoC. Karena, sebaliknya, kode publik pada platform seperti GitHub tidak memiliki proses verifikasi eksploit.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat berkonsultasi dengan rincian studi di file berikut, dari mana Anda Saya membagikan tautan Anda.