Спосіб впровадження шкідливого коду продовжує розвиватися, використовуючи старі методи та вдосконалюючи спосіб обману жертв.
Здається, що ідея троянського коня все ще є досить корисною сьогодні і такими тонкими способами, що багато з нас можуть залишитися непоміченими, і нещодавні дослідники з Лейденського університету (Нідерланди) вивчав проблему публікації фіктивних прототипів експлойтів на GitHub.
Ідея використовуйте їх, щоб мати можливість атакувати цікавих користувачів які хочуть перевірити та дізнатися, як деякі вразливості можна використати за допомогою запропонованих інструментів, робить цей тип ситуації ідеальним для впровадження шкідливого коду для атаки на користувачів.
Повідомляється, що в дослідженні Всього було проаналізовано 47.313 XNUMX сховищ експлойтів, охоплюють відомі вразливості, виявлені з 2017 по 2021 рік. Аналіз експлойтів показав, що 4893 (10,3%) з них містять код, який виконує шкідливі дії.
Ось чому Користувачам, які вирішать використовувати опубліковані експлойти, рекомендується спочатку перевірити їх шукати підозрілі вставки та запускати експлойти лише на віртуальних машинах, ізольованих від основної системи.
Експлойти Proof of Concept (PoC) для відомих уразливостей широко поширені в спільноті безпеки. Вони допомагають аналітикам безпеки навчатися один у одного, а також сприяють оцінці безпеки та об’єднанню мереж.
За останні кілька років стало досить популярним розповсюджувати PoC, наприклад, через веб-сайти та платформи, а також через публічні сховища коду, такі як GitHub. Однак загальнодоступні сховища коду не надають жодної гарантії, що будь-який даний PoC надходить із надійного джерела або навіть що він просто виконує саме те, що повинен робити.
У цій статті ми досліджуємо спільні PoC на GitHub на предмет відомих уразливостей, виявлених у 2017–2021 роках. Ми виявили, що не всі PoC є надійними.
Про проблему було визначено дві основні категорії зловмисних експлойтів: Експлойти, які містять зловмисний код, наприклад, для бекдору системи, завантаження трояна або підключення машини до ботнету, а також експлойти, які збирають і надсилають конфіденційну інформацію про користувача.
Крім того, також виділено окремий клас нешкідливих фейкових експлойтів які не здійснюють зловмисних дій, але вони також не містять очікуваної функціональності, наприклад, розроблений, щоб обдурити або попередити користувачів, які запускають неперевірений код із мережі.
Деякі докази концепції є фальшивими (тобто вони насправді не пропонують функції PoC), або
навіть шкідливі: наприклад, вони намагаються викрасти дані із системи, на якій вони працюють, або намагаються встановити шкідливе програмне забезпечення в цій системі.Щоб вирішити цю проблему, ми запропонували підхід для визначення того, чи є PoC зловмисним. Наш підхід заснований на виявленні симптомів, які ми спостерігали в зібраному наборі даних, для
наприклад, виклики шкідливих IP-адрес, зашифрований код або включені троянські двійкові файли.Використовуючи цей підхід, ми виявили 4893 шкідливих сховища з 47313
репозиторіїв, які були завантажені та перевірені (тобто 10,3% досліджених сховищ містять шкідливий код). Ця цифра демонструє тривожну поширеність небезпечних шкідливих PoC серед коду експлойту, що розповсюджується на GitHub.
Для виявлення зловмисних експлойтів використовувалися різні перевірки:
- Код експлойту було проаналізовано на наявність дротових загальнодоступних IP-адрес, після чого ідентифіковані адреси були додатково перевірені на відповідність базам даних хостів із чорного списку, які використовуються для контролю бот-мереж і розповсюдження шкідливих файлів.
- Експлойти, надані у скомпільованій формі, були перевірені антивірусним програмним забезпеченням.
- У коді було виявлено наявність нетипових шістнадцяткових дампів або вставок у форматі base64, після чого ці вставки були декодовані та вивчені.
Тим користувачам, які люблять проводити тести самостійно, також рекомендується використовувати такі джерела, як Exploit-DB, оскільки вони намагаються перевірити ефективність і легітимність PoC. Оскільки, навпаки, публічний код на таких платформах, як GitHub, не має процесу перевірки експлойтів.
В кінці кінців якщо вам цікаво дізнатись більше про це, ви можете переглянути деталі дослідження в наступному файлі, з якого ви Я ділюся вашим посиланням.