Sposób, w jaki wprowadzany jest złośliwy kod, ewoluuje, wykorzystując stare metody i ulepszając sposób, w jaki ofiary są oszukiwane.
Wygląda na to że idea konia trojańskiego jest nadal bardzo przydatna i w tak subtelny sposób, że wielu z nas może pozostać niezauważonych, a ostatnio badacze z Uniwersytetu w Leiden (Holandia) badał problem publikowania fikcyjnych prototypów exploitów w serwisie GitHub.
Pomysł użyj ich, aby móc atakować ciekawskich użytkowników którzy chcą przetestować i dowiedzieć się, jak niektóre luki można wykorzystać za pomocą oferowanych narzędzi, sprawia, że tego typu sytuacja jest idealna do wprowadzania złośliwego kodu do ataku na użytkowników.
Poinformowano, że w badaniu Przeanalizowano łącznie 47.313 XNUMX repozytoriów exploitów, obejmujących znane luki zidentyfikowane w latach 2017-2021. Analiza exploitów wykazała, że 4893 (10,3%) z nich zawiera kod wykonujący złośliwe działania.
Dlatego użytkownicy, którzy zdecydują się na wykorzystanie opublikowanych exploitów, powinni najpierw je zbadać szukanie podejrzanych wstawek i uruchamianie exploitów tylko na maszynach wirtualnych odizolowanych od głównego systemu.
Exploity Proof of Concept (PoC) dla znanych luk są szeroko rozpowszechnione w społeczności zajmującej się bezpieczeństwem. Pomagają analitykom bezpieczeństwa uczyć się od siebie nawzajem i ułatwiają ocenę bezpieczeństwa oraz tworzenie zespołów sieciowych.
W ciągu ostatnich kilku lat rozpowszechnianie PoC stało się dość popularne, na przykład za pośrednictwem stron internetowych i platform, a także publicznych repozytoriów kodu, takich jak GitHub. Jednak publiczne repozytoria kodu nie dają żadnej gwarancji, że dany PoC pochodzi z zaufanego źródła lub nawet, że po prostu robi dokładnie to, co powinien.
W tym artykule badamy wspólne PoC na GitHub pod kątem znanych luk w zabezpieczeniach wykrytych w latach 2017-2021. Odkryliśmy, że nie wszystkie punkty PoC są godne zaufania.
O problemie zidentyfikowano dwie główne kategorie szkodliwych exploitówExploity, które zawierają złośliwy kod, na przykład do backdoora systemu, pobrania trojana lub podłączenia maszyny do botnetu, oraz exploity, które zbierają i wysyłają poufne informacje o użytkowniku.
Ponadto, zidentyfikowano również odrębną klasę nieszkodliwych fałszywych exploitów które nie wykonują złośliwych działań, ale też nie zawierają oczekiwanej funkcjonalności, na przykład przeznaczony do oszukiwania lub ostrzegania użytkowników, którzy uruchamiają niezweryfikowany kod z sieci.
Niektóre dowody koncepcji są fałszywe (tj. w rzeczywistości nie oferują funkcjonalności PoC) lub
nawet złośliwe: na przykład próbują wydobyć dane z systemu, na którym działają, lub próbują zainstalować złośliwe oprogramowanie na tym systemie.Aby rozwiązać ten problem, zaproponowaliśmy metodę wykrywania, czy PoC jest złośliwy. Nasze podejście opiera się na wykrywaniu symptomów, które zaobserwowaliśmy w zebranym zbiorze danych, m.in
na przykład wywołania złośliwych adresów IP, zaszyfrowany kod lub dołączone strojanizowane pliki binarne.Stosując to podejście, wykryliśmy 4893 złośliwych repozytoriów z 47313
repozytoria, które zostały pobrane i zweryfikowane (tj. 10,3% przebadanych repozytoriów zawiera złośliwy kod). Ten rysunek pokazuje niepokojącą liczbę niebezpiecznych złośliwych PoC wśród kodu exploita rozpowszechnianego na GitHub.
Do wykrywania szkodliwych exploitów wykorzystano różne testy:
- Kod exploita został przeanalizowany pod kątem obecności przewodowych publicznych adresów IP, po czym zidentyfikowane adresy były dalej weryfikowane z bazami danych umieszczonych na czarnej liście hostów wykorzystywanych do kontrolowania botnetów i rozpowszechniania szkodliwych plików.
- Exploity dostarczone w formie skompilowanej zostały sprawdzone za pomocą oprogramowania antywirusowego.
- W kodzie wykryto obecność nietypowych zrzutów szesnastkowych lub wstawek w formacie base64, po czym wspomniane wstawki zostały odkodowane i zbadane.
Jest również zalecany dla tych użytkowników, którzy lubią przeprowadzać testy samodzielnie, na pierwszy plan wysuwają źródła, takie jak Exploit-DB, ponieważ starają się one potwierdzić skuteczność i zasadność PoC. Wręcz przeciwnie, publiczny kod na platformach takich jak GitHub nie ma procesu weryfikacji exploitów.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami badania w poniższym pliku, z którego Udostępniam Twój link.