GitHub에서 호스팅되는 xploits에서 악성 코드 발견

Darkcrizt

4 분

리눅스 트로이 목마

악성코드가 유입되는 방식은 기존 방식을 취하고 피해자를 속이는 방식을 개선하면서 계속 진화하고 있습니다.

그것은 보인다 트로이 목마 아이디어는 오늘날에도 여전히 유용합니다. 그리고 우리 중 많은 사람들이 눈에 띄지 않고 최근에 Leiden 대학(네덜란드)의 연구원으로 갈 수 있는 미묘한 방식으로 GitHub에 가상의 익스플로잇 프로토타입을 게시하는 문제를 연구했습니다.

의 생각 이것을 사용하여 호기심 많은 사용자를 공격할 수 있습니다. 제공되는 도구로 일부 취약점을 악용할 수 있는 방법을 테스트하고 배우고자 하는 사용자는 이러한 유형의 상황을 사용자를 공격하는 악성 코드를 도입하는 데 이상적입니다.

연구에서 보고되고 있다. 총 47.313개의 익스플로잇 리포지토리가 분석되었으며, 2017년부터 2021년까지 확인된 알려진 취약점을 다룹니다. 익스플로잇 분석에 따르면 이 중 4893개(10,3%)에 악성 작업을 수행하는 코드가 포함되어 있습니다.

그 이유는 게시된 익스플로잇을 사용하기로 결정한 사용자는 먼저 이를 검토하는 것이 좋습니다. 의심스러운 삽입물을 찾고 메인 시스템에서 격리된 가상 머신에서만 익스플로잇을 실행합니다.

알려진 취약점에 대한 개념 증명(PoC) 익스플로잇은 보안 커뮤니티에서 널리 공유됩니다. 보안 분석가가 서로에게서 배우고 보안 평가 및 네트워크 팀 구성을 용이하게 하는 데 도움이 됩니다.

지난 몇 년 동안 예를 들어 웹사이트와 플랫폼, 그리고 GitHub와 같은 공개 코드 리포지토리를 통해 PoC를 배포하는 것이 널리 보급되었습니다. 그러나 공개 코드 리포지토리는 주어진 PoC가 신뢰할 수 있는 소스에서 제공되거나 단순히 수행해야 하는 작업을 수행한다는 보장을 제공하지 않습니다.

이 백서에서는 2017–2021년에 발견된 알려진 취약점에 대해 GitHub의 공유 PoC를 조사합니다. 우리는 모든 PoC가 신뢰할 수 있는 것은 아니라는 것을 발견했습니다.

문제에 대해 악성 익스플로잇의 두 가지 주요 범주가 확인되었습니다.: 악성 코드가 포함된 익스플로잇(예: 시스템 백도어, 트로이 목마 다운로드 또는 시스템을 봇넷에 연결) 및 사용자에 대한 민감한 정보를 수집 및 전송하는 익스플로잇.

또한, 무해한 가짜 익스플로잇의 별도 클래스도 식별되었습니다. 악의적인 행동을 하지 않는 그러나 그들은 또한 예상되는 기능을 포함하지 않습니다예를 들어, 네트워크에서 확인되지 않은 코드를 실행하는 사용자를 속이거나 경고하도록 설계되었습니다.

일부 개념 증명은 가짜(즉, 실제로 PoC 기능을 제공하지 않음)이거나
심지어 악성: 예를 들어 실행 중인 시스템에서 데이터를 추출하거나 해당 시스템에 맬웨어를 설치하려고 시도합니다.

이 문제를 해결하기 위해 PoC가 악성인지 여부를 감지하는 접근 방식을 제안했습니다. 우리의 접근 방식은 수집된 데이터 세트에서 관찰한 증상 감지를 기반으로 합니다.
예를 들어, 악성 IP 주소, 암호화된 코드 또는 포함된 트로이 목마 바이너리에 대한 호출입니다.

이 접근 방식을 사용하여 4893개 중 47313개 악성 저장소를 발견했습니다.
다운로드 및 검증된 리포지토리(즉, 연구된 리포지토리의 10,3%가 악성 코드를 나타냄). 이 그림은 GitHub에 배포된 익스플로잇 코드 중 위험한 악성 PoC의 우려스러운 확산을 보여줍니다.

악성 익스플로잇을 탐지하기 위해 다양한 검사가 사용되었습니다.

  • 익스플로잇 코드는 유선 공용 IP 주소가 있는지 분석한 후 봇넷을 제어하고 악성 파일을 배포하는 데 사용되는 호스트의 블랙리스트 데이터베이스에 대해 식별된 주소를 추가로 확인했습니다.
  • 컴파일된 형태로 제공되는 익스플로잇은 안티바이러스 소프트웨어로 검사되었습니다.
  • 비정형 64진법 덤프 또는 baseXNUMX 형식의 삽입이 코드에서 감지된 후 해당 삽입이 디코딩되고 연구되었습니다.

또한 스스로 테스트를 수행하고 PoC의 효과와 합법성을 검증하기 위해 Exploit-DB와 같은 소스를 사용하는 것이 좋습니다. 반대로 GitHub와 같은 플랫폼의 공개 코드에는 익스플로잇 검증 프로세스가 없기 때문입니다.

최종적으로 그것에 대해 더 많이 알고 싶다면, 다음 파일에서 연구의 세부 사항을 참조할 수 있습니다. 나는 당신의 링크를 공유합니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.