Sättet på vilket skadlig kod introduceras fortsätter att utvecklas genom att ta de gamla metoderna och förbättra sättet på vilket offren luras.
Det verkar som Den trojanska hästidén är fortfarande ganska användbar idag och på så subtila sätt att många av oss kan gå obemärkt förbi och nyligen forskare från University of Leiden (Nederländerna) studerade problemet med att publicera fiktiva exploit-prototyper på GitHub.
Idén om använda dessa för att kunna attackera nyfikna användare som vill testa och lära sig hur vissa sårbarheter kan utnyttjas med de verktyg som erbjuds, gör denna typ av situation idealisk för att introducera skadlig kod för att attackera användare.
Det rapporteras att i studien Totalt 47.313 XNUMX exploateringslager analyserades, täcker kända sårbarheter identifierade från 2017 till 2021. Exploateringsanalys visade att 4893 10,3 (XNUMX%) av dem innehåller kod som utför skadliga åtgärder.
Det är därför användare som bestämmer sig för att använda publicerade exploits rekommenderas att undersöka dem först letar efter misstänkta inlägg och kör exploateringar endast på virtuella maskiner isolerade från huvudsystemet.
Proof of concept (PoC)-utnyttjningar för kända sårbarheter delas brett i säkerhetsgemenskapen. De hjälper säkerhetsanalytiker att lära av varandra och underlättar säkerhetsbedömningar och nätverkssamarbete.
Under de senaste åren har det blivit ganska populärt att distribuera PoC:er till exempel via webbplatser och plattformar, och även genom offentliga kodarkiv som GitHub. Offentliga kodförråd ger dock ingen garanti för att en given PoC kommer från en pålitlig källa eller ens att den helt enkelt gör exakt vad den ska göra.
I det här dokumentet undersöker vi delade PoC:er på GitHub för kända sårbarheter som upptäcktes 2017–2021. Vi upptäckte att inte alla PoCs är pålitliga.
Om problemet två huvudkategorier av illvilliga utnyttjande har identifierats: Exploater som innehåller skadlig kod, till exempel för att backdoor systemet, ladda ner en trojan eller ansluta en maskin till ett botnät, och utnyttjar som samlar in och skickar känslig information om användaren.
Dessutom, en separat klass av ofarliga falska bedrifter identifierades också som inte utför skadliga handlingar, men de innehåller inte heller den förväntade funktionaliteten, till exempel utformad för att lura eller varna användare som kör overifierad kod från nätverket.
Vissa proof of concept är falska (dvs de erbjuder faktiskt inte PoC-funktionalitet), eller
till och med skadlig: till exempel försöker de exfiltrera data från systemet de kör på, eller försöker installera skadlig programvara på det systemet.För att lösa detta problem har vi föreslagit ett tillvägagångssätt för att upptäcka om en PoC är skadlig. Vårt tillvägagångssätt bygger på att upptäcka de symtom som vi har observerat i den insamlade datamängden, för
till exempel anrop till skadliga IP-adresser, krypterad kod eller inkluderade trojaniserade binära filer.Med detta tillvägagångssätt har vi upptäckt 4893 skadliga arkiv av 47313
arkiv som har laddats ner och verifierats (det vill säga 10,3 % av de studerade arkiven innehåller skadlig kod). Den här figuren visar en oroande förekomst av farliga skadliga PoCs bland exploateringskoden som distribueras på GitHub.
Olika kontroller användes för att upptäcka skadlig exploatering:
- Exploateringskoden analyserades för närvaron av trådbundna offentliga IP-adresser, varefter de identifierade adresserna verifierades ytterligare mot svartlistade databaser med värdar som används för att kontrollera botnät och distribuera skadliga filer.
- Exploatörerna som tillhandahålls i kompilerad form har kontrollerats med antivirusprogram.
- Förekomsten av atypiska hexadecimala dumpar eller insättningar i base64-format upptäcktes i koden, varefter nämnda insättningar avkodades och studerades.
Det rekommenderas också för de användare som gillar att utföra testerna på egen hand, att ta källor som Exploit-DB i förgrunden, eftersom dessa försöker validera effektiviteten och legitimiteten hos PoCs. Eftersom, tvärtom, den offentliga koden på plattformar som GitHub inte har exploateringsverifieringsprocessen.
Slutligen om du är intresserad av att veta mer om det, kan du konsultera informationen om studien i följande fil, från vilken du Jag delar din länk.