Способ внедрения вредоносного кода продолжает развиваться, используя старые методы и совершенствуя способы обмана жертв.
Кажется, что Идея троянского коня все еще весьма полезна сегодня и такими тонкими способами, что многие из нас могут остаться незамеченными, и недавно исследователи из Лейденского университета (Нидерланды) изучал проблему публикации фиктивных прототипов эксплойтов на GitHub.
Идея используйте их, чтобы иметь возможность атаковать любопытных пользователей кто хочет протестировать и узнать, как можно использовать некоторые уязвимости с помощью предлагаемых инструментов, делает этот тип ситуации идеальной для внедрения вредоносного кода для атаки пользователей.
Сообщается, что в исследовании Всего было проанализировано 47.313 XNUMX репозиториев эксплойтов, охватывает известные уязвимости, выявленные с 2017 по 2021 год. Анализ эксплойтов показал, что 4893 (10,3%) из них содержат код, выполняющий вредоносные действия.
Оттого пользователям, решившим использовать опубликованные эксплойты, рекомендуется сначала изучить их ищем подозрительные вставки и запускаем эксплойты только на виртуальных машинах, изолированных от основной системы.
Эксплойты Proof of Concept (PoC) для известных уязвимостей широко распространены в сообществе безопасности. Они помогают аналитикам безопасности учиться друг у друга и облегчают оценку безопасности и совместную работу в сети.
За последние несколько лет стало довольно популярным распространять PoC, например, через веб-сайты и платформы, а также через общедоступные репозитории кода, такие как GitHub. Однако общедоступные репозитории кода не дают никаких гарантий того, что любой конкретный PoC исходит из надежного источника или даже что он просто делает именно то, что должен делать.
В этой статье мы исследуем общие PoC на GitHub для выявления известных уязвимостей, обнаруженных в 2017–2021 годах. Мы обнаружили, что не все PoC заслуживают доверия.
О проблеме выявлены две основные категории вредоносных эксплойтов: эксплойты, содержащие вредоносный код, например, для обхода системы, загрузки трояна или подключения машины к ботнету, а также эксплойты, которые собирают и отправляют конфиденциальную информацию о пользователе.
Кроме того, также был выделен отдельный класс безобидных поддельных эксплойтов которые не совершают вредоносных действий, но они также не содержат ожидаемого функционала, например, предназначенный для обмана или предупреждения пользователей, запускающих непроверенный код из сети.
Некоторые доказательства концепции являются поддельными (т. Е. Они фактически не предлагают функциональность PoC) или
даже вредоносные: например, они пытаются эксфильтровать данные из системы, в которой они работают, или пытаются установить вредоносное ПО в этой системе.Чтобы решить эту проблему, мы предложили подход для определения того, является ли PoC вредоносным. Наш подход основан на обнаружении симптомов, которые мы наблюдали в собранном наборе данных, для
например, вызовы вредоносных IP-адресов, зашифрованный код или включенные троянские двоичные файлы.Используя этот подход, мы обнаружили 4893 вредоносных репозитория из 47313.
загруженные и проверенные репозитории (то есть 10,3% исследованных репозиториев содержат вредоносный код). Этот рисунок показывает тревожную распространенность опасных вредоносных PoC среди кода эксплойта, распространяемого на GitHub.
Для обнаружения вредоносных эксплойтов использовались различные проверки:
- Код эксплойта был проанализирован на наличие проводных общедоступных IP-адресов, после чего выявленные адреса были дополнительно проверены по занесенным в черный список базам данных хостов, используемых для управления ботнетами и распространения вредоносных файлов.
- Эксплойты, представленные в скомпилированном виде, проверены антивирусным ПО.
- В коде выявлялось наличие нетипичных шестнадцатеричных дампов или вставок в формате base64, после чего указанные вставки расшифровывались и изучались.
Тем пользователям, которые любят проводить тесты самостоятельно, также рекомендуется использовать такие источники, как Exploit-DB, поскольку они пытаются проверить эффективность и легитимность PoC. Поскольку, наоборот, публичный код на таких платформах, как GitHub, не имеет процесса проверки эксплойтов.
В конце концов если вам интересно узнать об этом больше, вы можете ознакомиться с деталями исследования в следующем файле, из которого вы Делюсь вашей ссылкой.