Злонамерни код пронађен унутар кплоитс хостованих на ГитХуб-у

Чини се да идеја о тројанском коњу је и данас прилично корисна и то на тако суптилне начине да многи од нас могу остати непримећени и недавно истраживачи са Универзитета у Лајдену (Холандија) проучавао проблем објављивања фиктивних прототипова експлоатације на ГитХуб-у.

Идеја користите их да бисте могли да нападнете радознале кориснике који желе да тестирају и науче како се неке рањивости могу искористити помоћу понуђених алата, чини ову врсту ситуације идеалном за увођење злонамерног кода за напад на кориснике.

Извештава се да је у студији Анализирано је укупно 47.313 експлоат репозиторија, покривајући познате рањивости идентификоване од 2017. до 2021. Анализа експлоатације је показала да 4893 (10,3%) њих садржи код који врши злонамерне радње.

То је разлог зашто корисницима који одлуче да користе објављене експлоатације саветује се да их прво испитају траже сумњиве уметке и покрећу експлоатације само на виртуелним машинама изолованим од главног система.

Експлоатације доказа концепта (ПоЦ) за познате рањивости се широко користе у безбедносној заједници. Они помажу безбедносним аналитичарима да уче једни од других и олакшавају процене безбедности и умрежавање мреже.

Током последњих неколико година, постало је прилично популарно дистрибуирати ПоЦ-ове, на пример, преко веб локација и платформи, као и преко јавних складишта кодова као што је ГитХуб. Међутим, јавна спремишта кодова не пружају никакву гаранцију да било који дати ПоЦ долази из поузданог извора или чак да једноставно ради управо оно што би требало да ради.

У овом раду истражујемо заједничке ПоЦ-ове на ГитХуб-у за познате рањивости откривене у периоду 2017–2021. Открили смо да нису сви ПоЦ-ови поуздани.

О проблему идентификоване су две главне категорије злонамерних експлоатација: Експлоатације које садрже злонамерни код, на пример за бацкдоор система, преузимање тројанца или повезивање машине на ботнет, и експлоатације које прикупљају и шаљу осетљиве информације о кориснику.

Поред тога, идентификована је и посебна класа безопасних лажних експлоата који не врше злонамерне радње, али и не садрже очекивану функционалност, на пример, дизајниран да превари или упозори кориснике који покрећу непроверени код са мреже.

Неки докази концепта су лажни (тј. они заправо не нуде ПоЦ функционалност), или
чак и злонамерни: на пример, покушавају да ексфилтрирају податке из система на којем раде или покушавају да инсталирају малвер на тај систем.

Да бисмо решили овај проблем, предложили смо приступ за откривање да ли је ПоЦ злонамерна. Наш приступ се заснива на откривању симптома које смо уочили у прикупљеним подацима, за
на пример, позиви на злонамерне ИП адресе, шифровани код или укључени тројанизовани бинарни фајлови.

Користећи овај приступ, открили смо 4893 злонамерна спремишта од 47313
спремишта која су преузета и верификована (то јест, 10,3% проучаваних спремишта представља злонамерни код). Ова слика показује забрињавајућу преваленцију опасних злонамерних ПоЦ-ова међу кодом за експлоатацију који се дистрибуира на ГитХуб-у.

Коришћене су различите провере за откривање злонамерних експлоатација:

• Код експлоатације је анализиран на присуство ожичених јавних ИП адреса, након чега су идентификоване адресе даље верификоване у односу на црне листе база података хостова који се користе за контролу ботнета и дистрибуцију злонамерних датотека.
• Експлоатације које су дате у компајлираном облику проверене су антивирусним софтвером.
• У коду је откривено присуство атипичних хексадецималних думпова или уметања у формату басе64, након чега су наведена уметања декодирана и проучавана.

Такође се препоручује оним корисницима који воле да сами спроводе тестове, да узму изворе као што је Екплоит-ДБ у први план, јер они покушавају да потврде ефикасност и легитимност ПоЦ-ова. Пошто, напротив, јавни код на платформама као што је ГитХуб немају процес верификације експлоатације.

Коначно ако сте заинтересовани да сазнате више о томе, можете погледати детаље студије у следећој датотеци из које сте Делим твоју везу.