Ļaunprātīgā koda ieviešanas veids turpina attīstīties, izmantojot vecās metodes un uzlabojot veidu, kā upuri tiek maldināti.
Šķiet, ka Trojas zirga ideja joprojām ir diezgan noderīga šodien un tik smalkos veidos, ka daudzi no mums var palikt nepamanīti, un nesen pētnieki no Leidenes universitātes (Nīderlande) pētīja fiktīvu ekspluatācijas prototipu publicēšanas problēmu vietnē GitHub.
Ideja izmantojiet tos, lai varētu uzbrukt ziņkārīgiem lietotājiem kuri vēlas pārbaudīt un uzzināt, kā ar piedāvātajiem rīkiem var izmantot dažas ievainojamības, padara šāda veida situācijas ideāli piemērotas ļaunprātīga koda ieviešanai, lai uzbruktu lietotājiem.
Tiek ziņots, ka pētījumā Kopumā tika analizētas 47.313 XNUMX izmantošanas krātuves, aptver zināmās ievainojamības, kas identificētas no 2017. līdz 2021. gadam. Izmantošanas analīze parādīja, ka 4893 (10,3%) no tiem satur kodu, kas veic ļaunprātīgas darbības.
Tas ir iemesls, kāpēc lietotājiem, kuri nolemj izmantot publicētos izlietojumus, ieteicams tos vispirms pārbaudīt meklē aizdomīgus ieliktņus un palaid eksploatācijas tikai virtuālajās mašīnās, kas izolētas no galvenās sistēmas.
Koncepcijas pierādījuma (PoC) izmantošana zināmo ievainojamību novēršanai tiek plaši izplatīta drošības aprindās. Tie palīdz drošības analītiķiem mācīties vienam no otra un atvieglo drošības novērtējumus un tīkla komandas.
Dažu pēdējo gadu laikā ir kļuvis diezgan populārs izplatīt PoC, piemēram, izmantojot vietnes un platformas, kā arī publiskos kodu krātuvēs, piemēram, GitHub. Tomēr publiskās kodu krātuves nesniedz nekādu garantiju, ka kāds konkrētais PoC nāk no uzticama avota vai pat to, ka tas vienkārši dara tieši to, kas tam ir jādara.
Šajā rakstā mēs pētām GitHub kopīgotos PoC, lai noteiktu zināmās ievainojamības, kas atklātas 2017.–2021. gadā. Mēs atklājām, ka ne visi PoC ir uzticami.
Par problēmu ir identificētas divas galvenās ļaunprātīgu izmantošanu kategorijas: izmantojumi, kas satur ļaunprātīgu kodu, piemēram, lai aizslēgtu sistēmu, lejupielādētu Trojas zirgu vai savienotu ierīci ar robottīklu, un ekspluatācijas, kas apkopo un sūta sensitīvu informāciju par lietotāju.
Turklāt, tika identificēta arī atsevišķa nekaitīgu viltojumu klase kas neveic ļaunprātīgas darbības, bet tie arī nesatur gaidīto funkcionalitāti, piemēram, paredzēti, lai apmānītu vai brīdinātu lietotājus, kuri palaiž no tīkla nepārbaudītu kodu.
Daži koncepcijas pierādījumi ir viltoti (t.i., tie faktiski nepiedāvā PoC funkcionalitāti) vai
pat ļaunprātīgi: piemēram, viņi mēģina izfiltrēt datus no sistēmas, kurā darbojas, vai mēģina instalēt ļaunprātīgu programmatūru šajā sistēmā.Lai risinātu šo problēmu, mēs esam ierosinājuši pieeju, lai noteiktu, vai PoC ir ļaunprātīga. Mūsu pieeja ir balstīta uz to simptomu noteikšanu, kurus esam novērojuši apkopotajā datu kopā
Piemēram, zvani uz ļaunprātīgām IP adresēm, šifrēts kods vai iekļauti Trojas binārie faili.Izmantojot šo pieeju, mēs esam atklājuši 4893 ļaunprātīgas krātuves no 47313
krātuvēs, kas ir lejupielādētas un pārbaudītas (tas ir, 10,3% pētīto krātuvju satur ļaunprātīgu kodu). Šis skaitlis parāda satraucošu bīstamu ļaunprātīgu PoC izplatību starp GitHub izplatītajiem izmantošanas kodiem.
Lai atklātu ļaunprātīgu izmantošanu, tika izmantotas dažādas pārbaudes:
- Ekspluatācijas kods tika analizēts, lai noteiktu vadu publisko IP adrešu klātbūtni, un pēc tam identificētās adreses tika tālāk pārbaudītas, salīdzinot ar melnajā sarakstā iekļautajām saimniekdatoru datu bāzēm, ko izmanto, lai kontrolētu robottīklus un izplatītu ļaunprātīgus failus.
- Kompilētā veidā sniegtie ekspluatācijas veidi ir pārbaudīti ar pretvīrusu programmatūru.
- Kodā tika konstatētas netipiskas heksadecimālās izgāztuves vai ievietojumi base64 formātā, pēc tam minētie ievietojumi tika atšifrēti un pētīti.
Tas ir ieteicams arī tiem lietotājiem, kuriem patīk pašiem veikt testus, priekšplānā ņemt tādus avotus kā Exploit-DB, jo tie mēģina apstiprināt PoC efektivitāti un leģitimitāti. Tā kā, gluži pretēji, publiskajam kodam tādās platformās kā GitHub nav izmantošanas verifikācijas procesa.
Beidzot ja jūs interesē uzzināt vairāk par to, varat skatīt detalizētu informāciju par pētījumu nākamajā failā, no kura jūs Es dalos ar jūsu saiti.