Škodlivý kód nájdený v xploitoch hostených na GitHub

Zdá sa, že myšlienka trójskeho koňa je aj dnes celkom užitočná a takými jemnými spôsobmi, že mnohí z nás môžu zostať bez povšimnutia a nedávno výskumníci z University of Leiden (Holandsko) študoval problém publikovania fiktívnych exploit prototypov na GitHub.

Myšlienka použiť ich, aby ste mohli zaútočiť na zvedavých používateľov ktorí chcú otestovať a naučiť sa, ako možno niektoré zraniteľnosti zneužiť ponúkanými nástrojmi, robí tento typ situácie ideálnym na zavádzanie škodlivého kódu na útoky na používateľov.

Uvádza sa, že v štúdii Celkovo bolo analyzovaných 47.313 XNUMX úložísk exploitov, pokrývajúce známe zraniteľnosti identifikované v rokoch 2017 až 2021. Analýza zneužitia ukázala, že 4893 10,3 (XNUMX %) z nich obsahuje kód, ktorý vykonáva škodlivé akcie.

To je dôvod, prečo používateľom, ktorí sa rozhodnú použiť publikované exploity, sa odporúča, aby si ich najskôr prezreli hľadať podozrivé vložky a spúšťať exploity iba na virtuálnych strojoch izolovaných od hlavného systému.

V bezpečnostnej komunite sú široko zdieľané spôsoby využívania známej zraniteľnosti Proof of Concept (PoC). Pomáhajú bezpečnostným analytikom učiť sa jeden od druhého a uľahčujú hodnotenia bezpečnosti a sieťové tímy.

Za posledných niekoľko rokov sa stalo pomerne populárnym distribuovať PoC napríklad prostredníctvom webových stránok a platforiem a tiež prostredníctvom verejných úložísk kódu, ako je GitHub. Repozitáre verejného kódu však neposkytujú žiadnu záruku, že daný PoC pochádza z dôveryhodného zdroja alebo dokonca, že jednoducho robí presne to, čo robiť má.

V tomto dokumente skúmame zdieľané PoC na GitHub z hľadiska známych zraniteľností objavených v rokoch 2017–2021. Zistili sme, že nie všetky PoC sú dôveryhodné.

O probléme boli identifikované dve hlavné kategórie škodlivého zneužitia: Exploity, ktoré obsahujú škodlivý kód, napríklad na backdoor systému, stiahnutie trójskeho koňa alebo pripojenie stroja k botnetu, a exploity, ktoré zhromažďujú a odosielajú citlivé informácie o používateľovi.

Okrem toho, bola identifikovaná aj samostatná trieda neškodných falošných exploitov ktoré nevykonávajú škodlivé akcie, ale tiež neobsahujú očakávanú funkčnosť, napríklad určený na oklamanie alebo varovanie používateľov, ktorí spúšťajú neoverený kód zo siete.

Niektoré dôkazy konceptu sú falošné (t. j. v skutočnosti neponúkajú funkcionalitu PoC), príp
dokonca škodlivé: napríklad sa pokúšajú exfiltrovať údaje zo systému, na ktorom bežia, alebo sa pokúšajú do tohto systému nainštalovať malvér.

Na vyriešenie tohto problému sme navrhli prístup na zistenie, či je PoC škodlivý. Náš prístup je založený na detekcii symptómov, ktoré sme pozorovali v zozbieranom súbore údajov, napr
napríklad volania na škodlivé IP adresy, šifrovaný kód alebo zahrnuté trojanizované binárne súbory.

Pomocou tohto prístupu sme objavili 4893 škodlivých úložísk z 47313
úložiská, ktoré boli stiahnuté a overené (to znamená, že 10,3 % študovaných úložísk obsahuje škodlivý kód). Tento obrázok ukazuje znepokojujúcu prevalenciu nebezpečných škodlivých PoC medzi využívaným kódom distribuovaným na GitHub.

Na zistenie škodlivého zneužitia sa použili rôzne kontroly:

• Exploatačný kód bol analyzovaný na prítomnosť káblových verejných IP adries, po čom boli identifikované adresy ďalej overené proti databázam hostiteľov na čiernej listine používaných na kontrolu botnetov a distribúciu škodlivých súborov.
• Exploitácie poskytované v kompilovanej forme boli skontrolované antivírusovým softvérom.
• V kóde bola zistená prítomnosť atypických hexadecimálnych výpisov alebo vložení vo formáte base64, potom boli uvedené vloženia dekódované a študované.

Odporúča sa tiež pre tých používateľov, ktorí radi vykonávajú testy sami, vezmite do popredia zdroje, ako je Exploit-DB, pretože sa snažia overiť účinnosť a legitímnosť PoC. Naopak, verejný kód na platformách, ako je GitHub, nemá proces overovania zneužitia.

Konečne ak máte záujem dozvedieť sa o tom viac, podrobnosti o štúdiu si môžete pozrieť v nasledujúcom súbore, z ktorého si zdieľam tvoj odkaz.