הדרך שבה קוד זדוני מוכנס ממשיכה להתפתח על ידי נטילת השיטות הישנות ושיפור האופן שבו הקורבנות מונות.
נראה כי רעיון הסוס הטרויאני עדיין שימושי למדי היום ובדרכים עדינות כל כך שרבים מאיתנו יכולים ללכת מעיניהם ולאחרונה חוקרים מאוניברסיטת ליידן (הולנד) חקר את הבעיה של פרסום אבות טיפוס ניצול פיקטיביים ב- GitHub.
הרעיון השתמש באלה כדי להיות מסוגל לתקוף משתמשים סקרנים מי שרוצה לבדוק וללמוד כיצד ניתן לנצל פגיעויות מסוימות עם הכלים המוצעים, הופך את סוג המצב הזה לאידיאלי להכנסת קוד זדוני לתקוף משתמשים.
מדווח כי במחקר בסך הכל נותחו 47.313 מאגרי ניצול, מכסה פרצות ידועות שזוהו מ-2017 עד 2021. ניתוח ניצול הראה ש-4893 (10,3%) מהן מכילות קוד שמבצע פעולות זדוניות.
זו הסיבה למשתמשים שמחליטים להשתמש בניצולים שפורסמו מומלץ לבחון אותם תחילה מחפש תוספות חשודות ומפעיל ניצול רק במכונות וירטואליות המבודדות מהמערכת הראשית.
ניצול של הוכחת קונספט (PoC) עבור פגיעויות ידועות נפוצות בקהילת האבטחה. הם עוזרים למנתחי אבטחה ללמוד אחד מהשני ומקלים על הערכות אבטחה ושיתוף רשת.
במהלך השנים האחרונות, זה הפך פופולרי למדי להפיץ PoCs למשל דרך אתרים ופלטפורמות, וגם דרך מאגרי קוד ציבוריים כמו GitHub. עם זאת, מאגרי קוד ציבוריים אינם מספקים כל ערובה לכך שכל PoC נתון מגיע ממקור מהימן או אפילו שהוא פשוט עושה בדיוק מה שהוא אמור לעשות.
במאמר זה, אנו חוקרים PoCs משותפים ב- GitHub עבור פגיעויות ידועות שהתגלו בשנים 2017–2021. גילינו שלא כל ה-PoCs אמינים.
לגבי הבעיה זוהו שתי קטגוריות עיקריות של ניצול זדוני: ניצול המכילים קוד זדוני, למשל לדלת אחורית למערכת, הורדת סוס טרויאני או חיבור מכונה לרשת בוט, וניצול שאוסף ושולח מידע רגיש על המשתמש.
בנוסף, זוהה גם סוג נפרד של מעללי זיוף בלתי מזיקים שאינם מבצעים פעולות זדוניות, אבל הם גם לא מכילים את הפונקציונליות הצפויה, למשל, נועד להערים או להזהיר משתמשים שמריצים קוד לא מאומת מהרשת.
כמה הוכחות לקונספט הן מזויפות (כלומר, הן אינן מציעות למעשה פונקציונליות PoC), או
אפילו זדוני: לדוגמה, הם מנסים לחלץ נתונים מהמערכת שעליה הם פועלים, או מנסים להתקין תוכנה זדונית על מערכת זו.כדי לטפל בבעיה זו, הצענו גישה לזיהוי אם PoC הוא זדוני. הגישה שלנו מבוססת על זיהוי התסמינים שצפינו במערך הנתונים שנאסף, עבור
לדוגמה, קריאות לכתובות IP זדוניות, קוד מוצפן או קבצים בינאריים טרויאניים כלולים.באמצעות גישה זו, גילינו 4893 מאגרים זדוניים מתוך 47313
מאגרים שהורדו ואומתו (כלומר, 10,3% מהמאגרים שנחקרו מציגים קוד זדוני). איור זה מראה שכיחות מדאיגה של PoCs זדוניים מסוכנים בין קוד הניצול המופץ ב- GitHub.
נעשה שימוש בבדיקות שונות כדי לזהות ניצול זדוני:
- קוד הניצול נותח עבור נוכחותן של כתובות IP ציבוריות קוויות, ולאחר מכן אומתו הכתובות שזוהו כנגד מסדי נתונים ברשימה שחורה של מארחים המשמשים לשליטה בבוטנטים ולהפצת קבצים זדוניים.
- הניצולים שסופקו בצורה מהודרת נבדקו באמצעות תוכנת אנטי-וירוס.
- נוכחות של dumps הקסדצימליים לא טיפוסיים או הוספות בפורמט base64 זוהתה בקוד, ולאחר מכן הוספות האמורות פוענחו ונחקרו.
מומלץ גם לאותם משתמשים שאוהבים לבצע את הבדיקות בעצמם, לקחת מקורות כמו Exploit-DB לקדמת הבמה, שכן אלו מנסים לאמת את האפקטיביות והלגיטימיות של PoCs. מכיוון שלהפך, לקוד הציבורי בפלטפורמות כגון GitHub אין את תהליך אימות הניצול.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, תוכל לעיין בפרטי המחקר בקובץ הבא, ממנו אתה אני משתף את הקישור שלך.