Modul în care este introdus codul rău intenționat continuă să evolueze prin luarea vechilor metode și îmbunătățirea modului în care victimele sunt înșelate.
Se pare ca ideea calului troian este încă destul de utilă astăzi și în moduri atât de subtile, încât mulți dintre noi putem trece neobservați și recent cercetători de la Universitatea din Leiden (Olanda) a studiat problema publicării prototipurilor de exploit fictive pe GitHub.
Ideea de folosiți-le pentru a putea ataca utilizatorii curioși care doresc să testeze și să învețe cum pot fi exploatate unele vulnerabilități cu instrumentele oferite, face ca acest tip de situație să fie ideală pentru introducerea de cod rău intenționat pentru a ataca utilizatorii.
Se raportează că în studiu Au fost analizate un total de 47.313 depozite de exploatare, care acoperă vulnerabilități cunoscute identificate din 2017 până în 2021. Analiza exploatării a arătat că 4893 (10,3%) dintre acestea conțin cod care efectuează acțiuni rău intenționate.
De aceea utilizatorii care decid să folosească exploit-urile publicate sunt sfătuiți să le examineze mai întâi caută inserții suspecte și rulează exploit-uri numai pe mașinile virtuale izolate de sistemul principal.
Exploatările Proof of Concept (PoC) pentru vulnerabilități cunoscute sunt împărtășite pe scară largă în comunitatea de securitate. Ele îi ajută pe analiștii de securitate să învețe unii de la alții și să faciliteze evaluările de securitate și formarea în echipă în rețea.
În ultimii câțiva ani, a devenit destul de popular să distribuiți PoC-uri, de exemplu, prin site-uri web și platforme, precum și prin depozite de coduri publice precum GitHub. Cu toate acestea, depozitele de cod public nu oferă nicio garanție că orice PoC dat provine dintr-o sursă de încredere sau chiar că pur și simplu face exact ceea ce ar trebui să facă.
În această lucrare, investigăm PoC-urile partajate pe GitHub pentru vulnerabilitățile cunoscute descoperite în 2017-2021. Am descoperit că nu toate PoC-urile sunt de încredere.
Despre problemă au fost identificate două categorii principale de exploatări rău intenționate: Exploit-uri care conțin cod rău intenționat, de exemplu pentru a deschide sistemul, descărca un troian sau conecta o mașină la o rețea bot și exploatările care colectează și trimit informații sensibile despre utilizator.
În plus, a fost de asemenea identificată o clasă separată de exploatări false inofensive care nu efectuează acțiuni rău intenționate, dar nici nu conțin funcționalitatea așteptată, de exemplu, conceput pentru a păcăli sau avertiza utilizatorii care rulează cod neverificat din rețea.
Unele dovezi de concept sunt false (adică nu oferă de fapt funcționalitate PoC) sau
chiar rău intenționat: de exemplu, încearcă să exfiltreze datele din sistemul pe care rulează sau încearcă să instaleze programe malware pe acel sistem.Pentru a rezolva această problemă, am propus o abordare pentru a detecta dacă un PoC este rău intenționat. Abordarea noastră se bazează pe detectarea simptomelor pe care le-am observat în setul de date colectat, pentru
de exemplu, apeluri către adrese IP rău intenționate, cod criptat sau fișiere binare troiene incluse.Folosind această abordare, am descoperit 4893 de depozite rău intenționate din 47313
depozite care au fost descărcate și verificate (adică 10,3% din depozitele studiate prezintă cod rău intenționat). Această cifră arată o prevalență îngrijorătoare a PoC-urilor rău intenționate periculoase în rândul codului de exploatare distribuit pe GitHub.
Au fost utilizate diferite verificări pentru a detecta exploit-uri rău intenționate:
- Codul de exploatare a fost analizat pentru prezența adreselor IP publice cu fir, după care adresele identificate au fost verificate în continuare împotriva bazelor de date pe lista neagră ale gazdelor utilizate pentru a controla rețelele botnet și a distribui fișiere rău intenționate.
- Exploit-urile furnizate în formă compilată au fost verificate cu software antivirus.
- În cod a fost detectată prezența dump-urilor hexazecimale atipice sau inserții în format base64, după care respectivele inserții au fost decodificate și studiate.
De asemenea, este recomandat acelor utilizatori cărora le place să efectueze testele pe cont propriu, să ia în prim plan surse precum Exploit-DB, deoarece acestea încearcă să valideze eficacitatea și legitimitatea PoC-urilor. Din moment ce, dimpotrivă, codul public de pe platforme precum GitHub nu are procesul de verificare a exploatării.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți consulta detaliile studiului în următorul dosar, din care dumneavoastră Îți împărtășesc linkul.