วิธีการแนะนำโค้ดที่เป็นอันตรายยังคงพัฒนาต่อไปโดยใช้วิธีการแบบเก่าและปรับปรุงวิธีที่เหยื่อถูกหลอก
ดูเหมือนว่า แนวคิดของม้าโทรจันยังค่อนข้างมีประโยชน์ในปัจจุบัน และด้วยวิธีการอันละเอียดอ่อนที่พวกเราหลายคนมองข้ามไป และเมื่อเร็ว ๆ นี้นักวิจัยจากมหาวิทยาลัยไลเดน (เนเธอร์แลนด์) ศึกษาปัญหาการเผยแพร่ต้นแบบการเอารัดเอาเปรียบที่สมมติขึ้นบน GitHub
ความคิดของ ใช้สิ่งเหล่านี้เพื่อโจมตีผู้ใช้ที่อยากรู้อยากเห็น ผู้ที่ต้องการทดสอบและเรียนรู้ว่าช่องโหว่บางอย่างสามารถใช้ประโยชน์จากเครื่องมือที่มีให้ได้อย่างไร ทำให้สถานการณ์ประเภทนี้เหมาะสำหรับการแนะนำโค้ดที่เป็นอันตรายเพื่อโจมตีผู้ใช้
มีรายงานว่าในการศึกษา มีการวิเคราะห์ที่เก็บช่องโหว่ทั้งหมด 47.313 แห่ง ครอบคลุมช่องโหว่ที่ทราบซึ่งระบุตั้งแต่ปี 2017 ถึง 2021 การวิเคราะห์หาช่องโหว่พบว่า 4893 (10,3%) มีรหัสที่ดำเนินการที่เป็นอันตราย
นั่นคือเหตุผล ผู้ใช้ที่ตัดสินใจใช้ช่องโหว่ที่เผยแพร่ควรตรวจสอบก่อน มองหาส่วนแทรกที่น่าสงสัยและเรียกใช้การหาช่องโหว่บนเครื่องเสมือนที่แยกจากระบบหลักเท่านั้น
การพิสูจน์แนวคิด (PoC) การหาช่องโหว่สำหรับช่องโหว่ที่รู้จักนั้นมีการใช้กันอย่างแพร่หลายในชุมชนความปลอดภัย พวกเขาช่วยให้นักวิเคราะห์ความปลอดภัยเรียนรู้จากกันและกันและอำนวยความสะดวกในการประเมินความปลอดภัยและการรวมทีมเครือข่าย
ในช่วงไม่กี่ปีที่ผ่านมา การกระจาย PoC ได้รับความนิยมอย่างมาก เช่น ผ่านเว็บไซต์และแพลตฟอร์ม และผ่านที่เก็บโค้ดสาธารณะอย่าง GitHub อย่างไรก็ตาม ที่เก็บรหัสสาธารณะไม่ได้ให้การรับประกันใดๆ ว่า PoC ใดก็ตามที่มาจากแหล่งที่เชื่อถือได้ หรือแม้แต่ทำในสิ่งที่ควรทำอย่างแท้จริง
ในบทความนี้ เราตรวจสอบ PoC ที่แชร์บน GitHub เพื่อหาช่องโหว่ที่ทราบซึ่งค้นพบในปี 2017–2021 เราพบว่า PoC บางตัวไม่น่าเชื่อถือ
เกี่ยวกับปัญหา มีการระบุประเภทของการหาประโยชน์ที่เป็นอันตรายสองประเภทหลัก: การเอารัดเอาเปรียบที่มีโค้ดที่เป็นอันตราย เช่น แบ็คดอร์ระบบ ดาวน์โหลดโทรจัน หรือเชื่อมต่อเครื่องกับบ็อตเน็ต และการหาประโยชน์ที่รวบรวมและส่งข้อมูลที่ละเอียดอ่อนเกี่ยวกับผู้ใช้
นอกจากนี้ นอกจากนี้ยังมีการระบุประเภทของการหาประโยชน์ปลอมที่ไม่เป็นอันตรายอีกด้วย ที่ไม่กระทำการอันมุ่งร้าย แต่ยังไม่มีฟังก์ชันที่คาดไว้ตัวอย่างเช่น ออกแบบมาเพื่อหลอกหรือเตือนผู้ใช้ที่เรียกใช้โค้ดที่ไม่ได้รับการยืนยันจากเครือข่าย
การพิสูจน์แนวคิดบางอย่างเป็นการหลอกลวง (กล่าวคือ ไม่มีฟังก์ชัน PoC จริง ๆ ) หรือ
แม้จะเป็นอันตราย: ตัวอย่างเช่น พวกเขาพยายามกรองข้อมูลออกจากระบบที่กำลังทำงานอยู่ หรือพยายามติดตั้งมัลแวร์ในระบบนั้นเพื่อแก้ไขปัญหานี้ เราได้เสนอแนวทางในการตรวจสอบว่า PoC เป็นอันตรายหรือไม่ วิธีการของเราอยู่บนพื้นฐานของการตรวจหาอาการที่เราพบในชุดข้อมูลที่รวบรวมไว้สำหรับ
ตัวอย่างเช่น การเรียกไปยังที่อยู่ IP ที่เป็นอันตราย รหัสที่เข้ารหัส หรือไบนารีโทรจันรวมอยู่ด้วยด้วยวิธีการนี้ เราได้ค้นพบที่เก็บที่เป็นอันตราย 4893 แห่งจากทั้งหมด 47313
ที่เก็บที่ดาวน์โหลดและตรวจสอบแล้ว (นั่นคือ 10,3% ของที่เก็บที่ศึกษามีโค้ดที่เป็นอันตราย) ตัวเลขนี้แสดงให้เห็นถึงความชุกที่น่าเป็นห่วงของ PoC ที่เป็นอันตรายที่เป็นอันตรายท่ามกลางโค้ดการเอารัดเอาเปรียบที่เผยแพร่บน GitHub
มีการใช้การตรวจสอบต่างๆ เพื่อตรวจหาการจู่โจมที่เป็นอันตราย:
- โค้ดการเจาะระบบได้รับการวิเคราะห์ว่ามีที่อยู่ IP สาธารณะแบบมีสาย หลังจากนั้นที่อยู่ที่ระบุได้รับการตรวจสอบเพิ่มเติมกับฐานข้อมูลที่ขึ้นบัญชีดำของโฮสต์ที่ใช้ในการควบคุมบ็อตเน็ตและแจกจ่ายไฟล์ที่เป็นอันตราย
- ช่องโหว่ที่ให้ไว้ในแบบฟอร์มที่คอมไพล์ได้รับการตรวจสอบด้วยซอฟต์แวร์ป้องกันไวรัสแล้ว
- ตรวจพบการมีอยู่ของการทิ้งหรือการแทรกเลขฐานสิบหกผิดปรกติในรูปแบบ base64 ในโค้ด หลังจากนั้นการแทรกดังกล่าวจะถูกถอดรหัสและศึกษา
นอกจากนี้ยังแนะนำสำหรับผู้ใช้ที่ต้องการทำการทดสอบด้วยตนเอง ให้นำแหล่งข้อมูลเช่น Exploit-DB มาใช้ก่อน เนื่องจากสิ่งเหล่านี้พยายามตรวจสอบประสิทธิภาพและความชอบธรรมของ PoC ในทางกลับกัน รหัสสาธารณะบนแพลตฟอร์มเช่น GitHub ไม่มีกระบวนการตรวจสอบหาช่องโหว่
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมท่านสามารถศึกษารายละเอียดการศึกษาได้ในไฟล์ต่อไปนี้ ซึ่งท่าน ฉันแบ่งปันลิงค์ของคุณ