Kenkėjiško kodo įvedimo būdas toliau tobulėja, taikant senus metodus ir tobulinant aukų apgaudinėjimo būdą.
Atrodo, kad Trojos arklio idėja yra gana naudinga ir šiandien ir tokiais subtiliais būdais, kad daugelis iš mūsų gali likti nepastebėti, ir neseniai mokslininkai iš Leideno universiteto (Nyderlandai) ištyrė fiktyvių išnaudojimo prototipų publikavimo GitHub problemą.
Idėja Naudokite juos, kad galėtumėte pulti smalsius vartotojus kurie nori išbandyti ir sužinoti, kaip naudojant siūlomus įrankius galima išnaudoti kai kuriuos pažeidžiamumus, todėl tokio tipo situacija idealiai tinka įvedant kenkėjišką kodą, skirtą atakuoti vartotojus.
Pranešama, kad tyrime Iš viso buvo ištirta 47.313 XNUMX išnaudojimų saugyklų, apimantis žinomas spragas, nustatytas nuo 2017 iki 2021 m. Išnaudojimų analizė parodė, kad 4893 10,3 (XNUMX proc.) iš jų yra kodo, kuris atlieka kenkėjiškus veiksmus.
Štai kodėl vartotojams, nusprendusiems naudoti paskelbtus išnaudojimus, patariama pirmiausia juos išnagrinėti ieškote įtartinų intarpų ir paleiskite išnaudojimus tik virtualiose mašinose, atskirtose nuo pagrindinės sistemos.
Koncepcijos įrodymo (PoC) išnaudojimai žinomiems pažeidžiamumams plačiai naudojami saugumo bendruomenėje. Jie padeda saugumo analitikams mokytis vieniems iš kitų ir palengvina saugos vertinimą bei tinklo komandą.
Per pastaruosius kelerius metus tapo gana populiaru platinti PoC, pavyzdžiui, per svetaines ir platformas, taip pat per viešąsias kodų saugyklas, tokias kaip „GitHub“. Tačiau viešosios kodo saugyklos nesuteikia jokios garantijos, kad bet koks PoC yra iš patikimo šaltinio arba kad jis tiesiog atlieka būtent tai, ką turėtų daryti.
Šiame dokumente tiriame bendrus GitHub PoC, kad būtų galima rasti žinomų spragų, aptiktų 2017–2021 m. Mes nustatėme, kad ne visi PoC yra patikimi.
Apie problemą buvo nustatytos dvi pagrindinės kenkėjiškų išnaudojimų kategorijos: išnaudojimai, kuriuose yra kenkėjiško kodo, pvz., siekiant uždaryti sistemos duris, atsisiųsti Trojos arklys arba prijungti įrenginį prie robotų tinklo, ir išnaudojimai, kurie renka ir siunčia slaptą informaciją apie vartotoją.
Be to, taip pat buvo nustatyta atskira nekenksmingų netikrų išnaudojimų klasė kurie neatlieka piktybinių veiksmų, tačiau juose taip pat nėra numatytos funkcijos, pavyzdžiui, skirtas apgauti arba įspėti vartotojus, kurie paleidžia nepatvirtintą kodą iš tinklo.
Kai kurie koncepcijos įrodymai yra netikri (t. y. jie iš tikrųjų nesiūlo PoC funkcijų) arba
netgi kenkėjiškų: pavyzdžiui, jie bando išfiltruoti duomenis iš sistemos, kurioje veikia, arba bando įdiegti kenkėjišką programą toje sistemoje.Norėdami išspręsti šią problemą, pasiūlėme metodą, kaip nustatyti, ar PoC yra kenkėjiškas. Mūsų požiūris pagrįstas simptomų, kuriuos stebėjome surinktame duomenų rinkinyje, nustatymu
Pavyzdžiui, iškvietimai į kenkėjiškus IP adresus, užšifruotas kodas arba įtrauktos trojaninės dvejetainės programos.Taikydami šį metodą aptikome 4893 kenkėjiškų saugyklų iš 47313
atsisiųstų ir patikrintų saugyklų (tai yra, 10,3 % ištirtų saugyklų yra kenkėjiško kodo). Šis skaičius rodo nerimą keliantį pavojingų kenkėjiškų PoC paplitimą tarp „GitHub“ platinamo išnaudojimo kodo.
Kenkėjiškiems išnaudojimams aptikti buvo naudojami įvairūs patikrinimai:
- Išnaudojimo kodas buvo išanalizuotas, ar nėra laidinių viešųjų IP adresų, o po to nustatyti adresai buvo toliau tikrinami pagal juodąjį sąrašą įtrauktų kompiuterių duomenų bazių, naudojamų robotams valdyti ir kenkėjiškiems failams platinti.
- Kompiliuota forma pateikti išnaudojimai buvo patikrinti antivirusine programine įranga.
- Kode buvo aptiktas netipiškas šešioliktainis išmetimas arba įterpimai base64 formatu, po to minėti įterpimai buvo iššifruoti ir ištirti.
Taip pat rekomenduojama tiems vartotojams, kurie mėgsta patys atlikti testus, pirmenybę teikti tokiems šaltiniams kaip Exploit-DB, nes jie bando patvirtinti PoC efektyvumą ir teisėtumą. Kadangi, priešingai, viešasis kodas tokiose platformose kaip „GitHub“ neturi išnaudojimo patvirtinimo proceso.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią tyrimo informaciją galite peržiūrėti toliau pateiktame faile, iš kurio jūs Dalinuosi tavo nuoroda.