のようだ トロイの木馬のアイデアは今日でも非常に有用です そして、私たちの多くが気づかないほど微妙な方法で、最近ではライデン大学(オランダ)の研究者が GitHub で架空のエクスプロイト プロトタイプを公開する問題を調査しました。
の考え方 これらを使用して、好奇心旺盛なユーザーを攻撃できるようにします 提供されたツールを使用して一部の脆弱性を悪用する方法をテストして学習したい場合、この種の状況は悪意のあるコードを導入してユーザーを攻撃するのに理想的です。
研究で報告されている 合計 47.313 のエクスプロイト リポジトリが分析され、 2017 年から 2021 年に特定された既知の脆弱性を対象としています。エクスプロイト分析では、そのうちの 4893 (10,3%) に悪意のあるアクションを実行するコードが含まれていることが示されました。
それが理由です 公開されたエクスプロイトを使用することを決定したユーザーは、最初にそれらを調べることをお勧めします 疑わしい挿入を探し、メイン システムから隔離された仮想マシンでのみエクスプロイトを実行します。
既知の脆弱性に対する概念実証 (PoC) エクスプロイトは、セキュリティ コミュニティで広く共有されています。 これらは、セキュリティ アナリストが互いに学び合い、セキュリティ評価とネットワーク チーミングを促進するのに役立ちます。
過去数年間で、たとえば Web サイトやプラットフォーム、さらには GitHub などのパブリック コード リポジトリを通じて PoC を配布することが非常に一般的になりました。 ただし、パブリック コード リポジトリは、特定の PoC が信頼できるソースから取得されたものであるという保証や、本来の目的を正確に実行するという保証さえも提供しません。
このホワイト ペーパーでは、2017 ~ 2021 年に発見された既知の脆弱性について、GitHub で共有されている PoC を調査します。 すべての PoC が信頼できるわけではないことがわかりました。
問題について 悪意のあるエクスプロイトの XNUMX つの主なカテゴリが特定されました: システムへのバックドア、トロイの木馬のダウンロード、マシンのボットネットへの接続など、悪意のあるコードを含むエクスプロイト、およびユーザーに関する機密情報を収集して送信するエクスプロイト。
さらに、 別のクラスの無害な偽のエクスプロイトも特定されました 悪意のある行為を行わない、 しかし、それらには期待される機能も含まれていませんたとえば、未検証のコードをネットワークから実行するユーザーを騙したり、警告したりするように設計されています。
一部の概念実証は偽物です (つまり、実際には PoC 機能を提供していません)、または
たとえば、実行中のシステムからデータを盗み出そうとしたり、そのシステムにマルウェアをインストールしようとしたりします。この問題に対処するために、PoCが悪意のあるものかどうかを検出するアプローチを提案しました。 私たちのアプローチは、収集したデータセットで観察した症状の検出に基づいています。
たとえば、悪意のある IP アドレス、暗号化されたコード、または含まれているトロイの木馬化されたバイナリへの呼び出しです。このアプローチを使用して、4893 のうち 47313 の悪意のあるリポジトリを発見しました。
ダウンロードおよび検証済みのリポジトリ (つまり、調査したリポジトリの 10,3% に悪意のあるコードが存在する)。 この図は、GitHub で配布されたエクスプロイト コードの中で危険な悪意のある PoC が蔓延していることを示しています。
悪意のあるエクスプロイトを検出するために、さまざまなチェックが使用されました。
- エクスプロイト コードは、有線のパブリック IP アドレスの存在について分析された後、特定されたアドレスは、ボットネットの制御と悪意のあるファイルの配布に使用されるホストのブラックリストに登録されたデータベースに対してさらに検証されました。
- コンパイルされた形式で提供されるエクスプロイトは、ウイルス対策ソフトウェアでチェックされています。
- base64 形式の非定型の XNUMX 進数のダンプまたは挿入の存在がコードで検出された後、その挿入がデコードされて調査されました。
PoC の有効性と正当性を検証しようとする Exploit-DB などのソースを前面に出して、自分でテストを実行したいユーザーにもお勧めします。 逆に、GitHub などのプラットフォーム上の公開コードには、エクスプロイト検証プロセスがありません。
最後に あなたがそれについてもっと知りたいなら、次のファイルで研究の詳細を参照できます。 リンクを共有します。