A forma como o código malicioso é introduzido continua a evoluir, tomando os métodos antigos e melhorando a forma como as vítimas são enganadas.
Parece que a ideia do cavalo de Tróia ainda é bastante útil hoje e de maneiras tão sutis que muitos de nós podem passar despercebidos e recentemente pesquisadores da Universidade de Leiden (Holanda) estudou o problema de publicar protótipos de exploits fictícios no GitHub.
A idéia de use-os para poder atacar usuários curiosos que desejam testar e aprender como algumas vulnerabilidades podem ser exploradas com as ferramentas oferecidas, torna esse tipo de situação ideal para introduzir códigos maliciosos para atacar usuários.
Informa-se que no estudo Um total de 47.313 repositórios de exploits foram analisados, cobrindo vulnerabilidades conhecidas identificadas de 2017 a 2021. A análise de exploração mostrou que 4893 (10,3%) deles contêm código que executa ações maliciosas.
É por isso que os usuários que decidem usar exploits publicados são aconselhados a examiná-los primeiro procurando inserções suspeitas e execute exploits apenas em máquinas virtuais isoladas do sistema principal.
As explorações de prova de conceito (PoC) para vulnerabilidades conhecidas são amplamente compartilhadas na comunidade de segurança. Eles ajudam os analistas de segurança a aprender uns com os outros e facilitam as avaliações de segurança e a formação de equipes de rede.
Nos últimos anos, tornou-se bastante popular distribuir PoCs, por exemplo, por meio de sites e plataformas, e também por meio de repositórios de código público como o GitHub. No entanto, os repositórios de código público não fornecem nenhuma garantia de que qualquer PoC venha de uma fonte confiável ou mesmo que simplesmente faça exatamente o que deveria fazer.
Neste artigo, investigamos PoCs compartilhados no GitHub para vulnerabilidades conhecidas descobertas em 2017–2021. Descobrimos que nem todos os PoCs são confiáveis.
Sobre o problema duas categorias principais de explorações maliciosas foram identificadas: Exploits que contêm código malicioso, por exemplo, para fazer backdoor no sistema, baixar um Trojan ou conectar uma máquina a um botnet, e exploits que coletam e enviam informações confidenciais sobre o usuário.
Além disso, uma classe separada de exploits falsos inofensivos também foi identificada que não realizam ações maliciosas, mas também não contêm a funcionalidade esperada, por exemplo, projetado para enganar ou avisar os usuários que executam código não verificado da rede.
Algumas provas de conceito são falsas (ou seja, elas não oferecem funcionalidade PoC) ou
até maliciosos: por exemplo, eles tentam exfiltrar dados do sistema em que estão sendo executados ou tentam instalar malware nesse sistema.Para resolver esse problema, propusemos uma abordagem para detectar se um PoC é malicioso. Nossa abordagem é baseada na detecção dos sintomas que observamos no conjunto de dados coletados, por
por exemplo, chamadas para endereços IP maliciosos, código criptografado ou binários trojanizados incluídos.Usando essa abordagem, descobrimos 4893 repositórios maliciosos de 47313
repositórios que foram baixados e verificados (ou seja, 10,3% dos repositórios estudados apresentam código malicioso). Esta figura mostra uma prevalência preocupante de PoCs maliciosos perigosos entre o código de exploração distribuído no GitHub.
Várias verificações foram usadas para detectar explorações maliciosas:
- O código de exploração foi analisado quanto à presença de endereços IP públicos com fio, após os quais os endereços identificados foram verificados em relação aos bancos de dados da lista negra de hosts usados para controlar botnets e distribuir arquivos maliciosos.
- As explorações fornecidas em forma compilada foram verificadas com software antivírus.
- A presença de dumps hexadecimais atípicos ou inserções no formato base64 foi detectada no código, após o que as referidas inserções foram decodificadas e estudadas.
Também é recomendado para aqueles usuários que gostam de realizar os testes por conta própria, levar à tona fontes como Exploit-DB, pois elas tentam validar a eficácia e a legitimidade dos PoCs. Já que, pelo contrário, o código público em plataformas como o GitHub não possui o processo de verificação de exploração.
Finalmente se você estiver interessado em saber mais sobre isso, você pode consultar os detalhes do estudo no arquivo a seguir, do qual você Compartilho seu link.