Zlonamerna koda, najdena znotraj xploits, ki gostuje na GitHubu

Zdi se, da ideja o trojanskem konju je še danes precej uporabna in na tako subtilne načine, da mnogi od nas lahko ostanejo neopaženi in nedavno raziskovalci z univerze v Leidnu (Nizozemska) preučeval problem objave fiktivnih prototipov izkoriščanja na GitHubu.

Ideja uporabite te, da lahko napadete radovedne uporabnike ki želijo preizkusiti in izvedeti, kako je mogoče nekatere ranljivosti izkoristiti s ponujenimi orodji, je ta vrsta situacije idealna za uvedbo zlonamerne kode za napad na uporabnike.

Poročajo, da v študiji Skupno je bilo analiziranih 47.313 skladišč izkoriščanja, pokriva znane ranljivosti, ugotovljene od leta 2017 do 2021. Analiza izkoriščanja je pokazala, da jih 4893 (10,3 %) vsebuje kodo, ki izvaja zlonamerna dejanja.

To je razlog uporabnikom, ki se odločijo za uporabo objavljenih podvigov, svetujemo, da jih najprej pregledajo išče sumljive vstavke in izvaja izkoriščanja samo na virtualnih strojih, izoliranih od glavnega sistema.

Izkoriščanja dokaza koncepta (PoC) za znane ranljivosti so v varnostni skupnosti široko razširjena. Pomagajo varnostnim analitikom, da se učijo drug od drugega ter olajšajo ocene varnosti in povezovanje v omrežje.

V zadnjih nekaj letih je postalo zelo priljubljeno distribuirati PoC-je na primer prek spletnih mest in platform ter tudi prek javnih repozitorijev kode, kot je GitHub. Vendar javni repozitoriji kode ne zagotavljajo nobenega jamstva, da kateri koli PoC prihaja iz zaupanja vrednega vira ali celo, da preprosto počne točno to, kar naj bi.

V tem prispevku raziskujemo skupne PoC-je na GitHubu za znane ranljivosti, odkrite v letih 2017–2021. Ugotovili smo, da niso vsi PoC-ji vredni zaupanja.

O težavi Ugotovljeni sta bili dve glavni kategoriji zlonamernih izkoriščanj: Izkoriščanja, ki vsebujejo zlonamerno kodo, na primer za backdoor sistema, prenos trojanca ali povezovanje stroja z botnetom, in izkoriščanja, ki zbirajo in pošiljajo občutljive informacije o uporabniku.

Poleg tega, identificiran je bil tudi ločen razred neškodljivih ponaredkov ki ne izvajajo zlonamernih dejanj, vendar tudi ne vsebujejo pričakovane funkcionalnosti, na primer zasnovan za pretentanje ali opozarjanje uporabnikov, ki izvajajo nepreverjeno kodo iz omrežja.

Nekateri dokazi koncepta so lažni (tj. dejansko ne ponujajo funkcionalnosti PoC) oz
celo zlonamerni: poskušajo na primer iztrgati podatke iz sistema, v katerem se izvajajo, ali poskušajo v ta sistem namestiti zlonamerno programsko opremo.

Da bi rešili to težavo, smo predlagali pristop za odkrivanje, ali je PoC zlonameren. Naš pristop temelji na odkrivanju simptomov, ki smo jih opazili v zbranem nizu podatkov, za
na primer klice na zlonamerne naslove IP, šifrirano kodo ali vključene trojanske binarne datoteke.

S tem pristopom smo odkrili 4893 zlonamernih skladišč od 47313
repozitorije, ki so bili preneseni in preverjeni (to pomeni, da 10,3 % preučevanih repozitorijev vsebuje zlonamerno kodo). Ta številka kaže zaskrbljujočo razširjenost nevarnih zlonamernih PoC-jev med kodo izkoriščanja, distribuirano na GitHubu.

Za odkrivanje zlonamernih napadov so bili uporabljeni različni pregledi:

• Koda izkoriščanja je bila analizirana glede prisotnosti ožičenih javnih naslovov IP, nato pa so bili identificirani naslovi dodatno preverjeni glede na baze podatkov gostiteljev na črnem seznamu, ki se uporabljajo za nadzor botnetov in distribucijo zlonamernih datotek.
• Izkoriščanja v prevedeni obliki so bila preverjena s protivirusno programsko opremo.
• V kodi je bila zaznana prisotnost netipičnih šestnajstiških odlagališč ali vstavkov v formatu base64, nakar so bili omenjeni vstavitve dekodirani in proučeni.

Priporočljivo je tudi za tiste uporabnike, ki radi sami izvajajo teste, da v ospredje postavijo vire, kot je Exploit-DB, saj skušajo potrditi učinkovitost in legitimnost PoC-jev. Nasprotno, javna koda na platformah, kot je GitHub, nima postopka preverjanja izkoriščanja.

Končno če vas zanima več o tem, si lahko ogledate podrobnosti študije v naslednji datoteki, iz katere ste Delim vašo povezavo.