Mënyra në të cilën futet kodi keqdashës vazhdon të evoluojë duke përdorur metodat e vjetra dhe duke përmirësuar mënyrën në të cilën viktimat mashtrohen.
Duket se ideja e kalit të Trojës është ende mjaft e dobishme sot dhe në mënyra kaq delikate që shumë prej nesh mund të kalojnë pa u vënë re dhe së fundmi studiuesit nga Universiteti i Leiden (Holandë) studioi problemin e publikimit të prototipeve fiktive të shfrytëzimit në GitHub.
Ideja e përdorni këto për të qenë në gjendje të sulmoni përdoruesit kuriozë që duan të testojnë dhe të mësojnë se si mund të shfrytëzohen disa dobësi me mjetet e ofruara, e bën këtë lloj situate ideale për futjen e kodit me qëllim të keq për të sulmuar përdoruesit.
Raportohet se në studim Janë analizuar gjithsej 47.313 depo eksploit, duke mbuluar dobësitë e njohura të identifikuara nga viti 2017 deri në vitin 2021. Analiza e eksploit tregoi se 4893 (10,3%) prej tyre përmbajnë kod që kryen veprime keqdashëse.
Kjo është arsyeja pse Përdoruesit që vendosin të përdorin shfrytëzimet e publikuara këshillohen që së pari t'i shqyrtojnë ato duke kërkuar për inserte të dyshimta dhe ekzekutoni shfrytëzime vetëm në makinat virtuale të izoluara nga sistemi kryesor.
Shfrytëzimi i provës së konceptit (PoC) për dobësitë e njohura ndahet gjerësisht në komunitetin e sigurisë. Ato ndihmojnë analistët e sigurisë të mësojnë nga njëri-tjetri dhe lehtësojnë vlerësimet e sigurisë dhe grupimin e rrjetit.
Gjatë viteve të fundit, është bërë mjaft popullore shpërndarja e PoC-ve për shembull përmes faqeve të internetit dhe platformave, si dhe përmes depove të kodeve publike si GitHub. Sidoqoftë, depot e kodit publik nuk ofrojnë asnjë garanci që çdo PoC e dhënë vjen nga një burim i besuar ose madje që thjesht bën pikërisht atë që supozohet të bëjë.
Në këtë punim, ne hetojmë PoC-të e përbashkëta në GitHub për dobësi të njohura të zbuluara në 2017-2021. Ne zbuluam se jo të gjitha PoC-të janë të besueshme.
Në lidhje me problemin janë identifikuar dy kategori kryesore të shfrytëzimeve me qëllim të keq: Shfrytëzime që përmbajnë kode keqdashëse, për shembull për të kthyer sistemin në prapavijë, për të shkarkuar një Trojan ose për të lidhur një makinë me një botnet, dhe shfrytëzime që mbledhin dhe dërgojnë informacione të ndjeshme rreth përdoruesit.
Përveç kësaj, u identifikua gjithashtu një klasë e veçantë e shfrytëzimeve të rreme të padëmshme që nuk kryejnë veprime keqdashëse, por ato gjithashtu nuk përmbajnë funksionalitetin e pritur, për shembull, i krijuar për të mashtruar ose paralajmëruar përdoruesit që ekzekutojnë kod të paverifikuar nga rrjeti.
Disa prova të konceptit janë false (d.m.th. ato në fakt nuk ofrojnë funksionalitet PoC), ose
edhe me qëllim të keq: për shembull, ata përpiqen të nxjerrin të dhëna nga sistemi në të cilin po ekzekutojnë, ose përpiqen të instalojnë malware në atë sistem.Për të adresuar këtë çështje, ne kemi propozuar një qasje për të zbuluar nëse një PoC është me qëllim të keq. Qasja jonë bazohet në zbulimin e simptomave që kemi vërejtur në grupin e të dhënave të mbledhura, për
për shembull, thirrje drejt adresave IP me qëllim të keq, kod të koduar ose binar të përfshirë trojan.Duke përdorur këtë qasje, ne kemi zbuluar 4893 depo me qëllim të keq nga 47313
magazinat që janë shkarkuar dhe verifikuar (d.m.th., 10,3% e depove të studiuara paraqesin kod me qëllim të keq). Kjo shifër tregon një prevalencë shqetësuese të PoC-ve të rrezikshme me qëllim të keq midis kodit të shfrytëzimit të shpërndarë në GitHub.
Kontrolle të ndryshme u përdorën për të zbuluar shfrytëzime me qëllim të keq:
- Kodi i shfrytëzimit u analizua për praninë e adresave IP publike me tela, pas së cilës adresat e identifikuara u verifikuan më tej kundrejt bazave të të dhënave në listën e zezë të hosteve të përdorura për të kontrolluar botnet dhe shpërndarjen e skedarëve me qëllim të keq.
- Përdorimet e ofruara në formë të përpiluar janë kontrolluar me softuer antivirus.
- Prania e deponive ose futjeve atipike heksadecimal në formatin base64 u zbulua në kod, pas së cilës futjet në fjalë u dekoduan dhe u studiuan.
Rekomandohet gjithashtu për ata përdorues që duan të kryejnë testet vetë, të nxjerrin në pah burime të tilla si Exploit-DB, pasi këto përpiqen të vërtetojnë efektivitetin dhe legjitimitetin e PoC-ve. Meqenëse, përkundrazi, kodi publik në platforma të tilla si GitHub nuk kanë procesin e verifikimit të shfrytëzimit.
Më në fund nëse jeni të interesuar të dini më shumë për të, mund të konsultoni detajet e studimit në dosjen e mëposhtme, nga e cila ju Unë ndaj lidhjen tuaj.