Ang paraan kung saan ipinakilala ang malisyosong code ay patuloy na nagbabago sa pamamagitan ng paggamit ng mga lumang pamamaraan at pagpapabuti ng paraan kung saan ang mga biktima ay nalinlang.
Mukhang na ang ideya ng Trojan horse ay medyo kapaki-pakinabang pa rin ngayon at sa mga banayad na paraan na marami sa atin ang hindi napapansin at kamakailan ay mga mananaliksik mula sa Unibersidad ng Leiden (The Netherlands) pinag-aralan ang problema ng pag-publish ng mga gawa-gawang prototype ng pagsasamantala sa GitHub.
Ang ideya ng gamitin ang mga ito para ma-atake ang mga curious na user na gustong subukan at matutunan kung paano mapakinabangan ang ilang mga kahinaan sa mga tool na inaalok, ginagawang perpekto ang ganitong uri ng sitwasyon para sa pagpapakilala ng malisyosong code upang atakehin ang mga user.
Iniulat na sa pag-aaral Isang kabuuan ng 47.313 exploit repository ang nasuri, sumasaklaw sa mga kilalang kahinaan na natukoy mula 2017 hanggang 2021. Ipinakita ng Exploit analysis na 4893 (10,3%) sa mga ito ang naglalaman ng code na nagsasagawa ng mga malisyosong aksyon.
Ito ang dahilan ang mga gumagamit na nagpasyang gumamit ng mga nai-publish na pagsasamantala ay pinapayuhan na suriin muna ang mga ito naghahanap ng mga kahina-hinalang pagsingit at nagpapatakbo ng mga pagsasamantala lamang sa mga virtual machine na nakahiwalay sa pangunahing sistema.
Ang patunay ng konsepto (PoC) na pagsasamantala para sa mga kilalang kahinaan ay malawak na ibinabahagi sa komunidad ng seguridad. Tinutulungan nila ang mga security analyst na matuto mula sa isa't isa at mapadali ang mga pagtatasa ng seguridad at network teaming.
Sa nakalipas na ilang taon, naging tanyag ang pamamahagi ng mga PoC halimbawa sa pamamagitan ng mga website at platform, at gayundin sa pamamagitan ng mga pampublikong imbakan ng code tulad ng GitHub. Gayunpaman, ang mga pampublikong imbakan ng code ay hindi nagbibigay ng anumang garantiya na ang anumang ibinigay na PoC ay nagmumula sa isang pinagkakatiwalaang pinagmulan o kahit na ginagawa lang nito ang eksaktong dapat nitong gawin.
Sa papel na ito, sinisiyasat namin ang mga nakabahaging PoC sa GitHub para sa mga kilalang kahinaan na natuklasan noong 2017–2021. Natuklasan namin na hindi lahat ng PoC ay mapagkakatiwalaan.
Tungkol sa problema dalawang pangunahing kategorya ng mga malisyosong pagsasamantala ang natukoy: Mga pagsasamantalang naglalaman ng malisyosong code, halimbawa upang i-backdoor ang system, mag-download ng Trojan, o ikonekta ang isang makina sa isang botnet, at mga pagsasamantalang nangongolekta at nagpapadala ng sensitibong impormasyon tungkol sa user.
Bukod dito, isang hiwalay na klase ng hindi nakakapinsalang mga pekeng pagsasamantala ay natukoy din na hindi nagsasagawa ng mga malisyosong aksyon, ngunit hindi rin naglalaman ang mga ito ng inaasahang paggana, halimbawa, idinisenyo upang linlangin o balaan ang mga user na nagpapatakbo ng hindi na-verify na code mula sa network.
Bogus ang ilang patunay ng konsepto (ibig sabihin, hindi talaga sila nag-aalok ng functionality ng PoC), o
kahit nakakahamak: halimbawa, sinusubukan nilang i-exfiltrate ang data mula sa system na pinapatakbo nila, o subukang mag-install ng malware sa system na iyon.Upang matugunan ang isyung ito, nagmungkahi kami ng diskarte para matukoy kung nakakahamak ang isang PoC. Ang aming diskarte ay batay sa pagtukoy sa mga sintomas na aming naobserbahan sa nakolektang set ng data, para sa
halimbawa, mga tawag sa mga nakakahamak na IP address, naka-encrypt na code, o kasamang mga binary na trojanized.Gamit ang diskarteng ito, natuklasan namin ang 4893 malisyosong repository sa 47313
mga repositoryo na na-download at na-verify (iyon ay, 10,3% ng mga repositoryong pinag-aralan ay nagpapakita ng malisyosong code). Ang figure na ito ay nagpapakita ng nakababahala na paglaganap ng mga mapanganib na nakakahamak na PoC sa mga exploit code na ipinamahagi sa GitHub.
Ginamit ang iba't ibang pagsusuri upang matukoy ang mga nakakahamak na pagsasamantala:
- Sinuri ang exploit code para sa pagkakaroon ng mga naka-wire na pampublikong IP address, pagkatapos ay mas na-verify ang mga natukoy na address laban sa mga naka-blacklist na database ng mga host na ginamit upang kontrolin ang mga botnet at mamahagi ng mga malisyosong file.
- Ang mga pagsasamantalang ibinigay sa pinagsama-samang anyo ay sinuri gamit ang anti-virus software.
- Ang pagkakaroon ng mga atypical hexadecimal dumps o insertion sa base64 na format ay nakita sa code, pagkatapos nito ay na-decode at pinag-aralan ang nasabing mga insertion.
Inirerekomenda din ito para sa mga user na gustong magsagawa ng mga pagsubok nang mag-isa, kumuha ng mga mapagkukunan tulad ng Exploit-DB sa unahan, dahil sinusubukan nitong patunayan ang pagiging epektibo at pagiging lehitimo ng mga PoC. Dahil, sa kabaligtaran, ang pampublikong code sa mga platform tulad ng GitHub ay walang proseso ng pagsasamantala sa pag-verify.
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong konsultahin ang mga detalye ng pag-aaral sa sumusunod na file, kung saan ka share ko link mo.