Kötü niyetli kodun tanıtılma şekli, eski yöntemleri alarak ve kurbanların aldatılma şeklini geliştirerek gelişmeye devam ediyor.
Öyle görünüyor Truva atı fikri bugün hala oldukça kullanışlıdır. ve çoğumuzun farkedilemeyeceği kadar incelikli yollarla ve son zamanlarda Leiden Üniversitesi'nden (Hollanda) araştırmacılar GitHub'da hayali istismar prototipleri yayınlama sorununu inceledi.
Fikri meraklı kullanıcılara saldırmak için bunları kullanın Sunulan araçlarla bazı güvenlik açıklarından nasıl yararlanılabileceğini test etmek ve öğrenmek isteyenler, bu tür durumları kullanıcılara saldırmak için kötü niyetli kodlar tanıtmak için ideal hale getirir.
Çalışmada bildirildiğine göre Toplam 47.313 istismar deposu analiz edildi, 2017'den 2021'e kadar tanımlanan bilinen güvenlik açıklarını kapsar. Exploit analizi, bunların 4893'ünün (%10,3) kötü niyetli eylemler gerçekleştiren kod içerdiğini gösterdi.
Bu yüzden yayınlanan istismarları kullanmaya karar veren kullanıcıların önce bunları incelemeleri önerilir. yalnızca ana sistemden izole edilmiş sanal makinelerde şüpheli ekler arar ve açıklardan yararlanmayı çalıştırır.
Bilinen güvenlik açıklarına yönelik kavram kanıtı (PoC) istismarları, güvenlik camiasında yaygın olarak paylaşılmaktadır. Güvenlik analistlerinin birbirlerinden öğrenmelerine yardımcı olur ve güvenlik değerlendirmelerini ve ağ ekip çalışmasını kolaylaştırır.
Son birkaç yılda, örneğin web siteleri ve platformlar aracılığıyla ve ayrıca GitHub gibi genel kod depoları aracılığıyla PoC'leri dağıtmak oldukça popüler hale geldi. Bununla birlikte, genel kod depoları, herhangi bir PoC'nin güvenilir bir kaynaktan geldiğine veya hatta tam olarak yapması gerekeni yaptığına dair herhangi bir garanti vermez.
Bu yazıda, 2017-2021'de keşfedilen bilinen güvenlik açıkları için GitHub'da paylaşılan PoC'leri araştırıyoruz. Tüm PoC'lerin güvenilir olmadığını keşfettik.
Problem hakkında iki ana kötü amaçlı istismar kategorisi tespit edildi: Kötü amaçlı kod içeren, örneğin sisteme arka kapı açmak, bir Truva atı indirmek veya bir makineyi bir botnet'e bağlamak ve kullanıcı hakkında hassas bilgiler toplayan ve gönderen istismarlar.
Buna ek olarak, ayrı bir zararsız sahte istismar sınıfı da tespit edildi kötü niyetli eylemler gerçekleştirmeyenler, ama aynı zamanda beklenen işlevselliği de içermiyorlar.örneğin, ağdan doğrulanmamış kod çalıştıran kullanıcıları kandırmak veya uyarmak için tasarlanmıştır.
Bazı kavram kanıtları sahtedir (yani aslında PoC işlevselliği sunmazlar) veya
hatta kötü niyetli: örneğin, üzerinde çalıştıkları sistemden veri sızdırmaya çalışırlar veya bu sisteme kötü amaçlı yazılım yüklemeye çalışırlar.Bu sorunu çözmek için, bir PoC'nin kötü amaçlı olup olmadığını tespit etmeye yönelik bir yaklaşım önerdik. Yaklaşımımız, toplanan veri setinde gözlemlediğimiz semptomları tespit etmeye dayanmaktadır.
örneğin, kötü niyetli IP adreslerine, şifrelenmiş kodlara veya dahil edilen truva atlanmış ikili dosyalara yapılan çağrılar.Bu yaklaşımı kullanarak, 4893'ten 47313'ü kötü amaçlı depo keşfettik.
indirilen ve doğrulanan havuzlar (yani, incelenen havuzların %10,3'ü kötü amaçlı kod içeriyor). Bu şekil, GitHub'da dağıtılan açıklardan yararlanma kodu arasında tehlikeli kötü amaçlı PoC'lerin endişe verici bir yaygınlığını göstermektedir.
Kötü niyetli açıkları tespit etmek için çeşitli kontroller kullanıldı:
- Açıktan yararlanma kodu, kablolu genel IP adreslerinin varlığı için analiz edildi ve ardından tanımlanan adresler, botnet'leri kontrol etmek ve kötü amaçlı dosyaları dağıtmak için kullanılan kara listeye alınmış ana bilgisayar veritabanlarına karşı daha fazla doğrulandı.
- Derlenmiş formda sağlanan açıklar, anti-virüs yazılımı ile kontrol edilmiştir.
- Kodda, base64 formatında atipik onaltılık dökümlerin veya eklemelerin varlığı tespit edildi, ardından söz konusu eklemelerin kodu çözüldü ve incelendi.
Testleri kendi başlarına yapmayı seven kullanıcıların, PoC'lerin etkinliğini ve meşruiyetini doğrulamaya çalıştıkları için Exploit-DB gibi kaynakları ön plana almaları da önerilir. Aksine, GitHub gibi platformlardaki genel kod, açıklardan yararlanma doğrulama sürecine sahip değildir.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan, çalışmanın detaylarına aşağıdaki dosyadan ulaşabilirsiniz. linkinizi paylaşıyorum.