Cách thức mà mã độc được đưa vào tiếp tục phát triển bằng cách áp dụng các phương pháp cũ và cải tiến cách thức mà nạn nhân bị lừa.
Có vẻ như ý tưởng về con ngựa thành Troy vẫn còn khá hữu ích cho đến ngày nay và theo những cách tinh tế mà nhiều người trong chúng ta có thể không được chú ý và các nhà nghiên cứu gần đây từ Đại học Leiden (Hà Lan) đã nghiên cứu vấn đề xuất bản các nguyên mẫu khai thác hư cấu trên GitHub.
Ý tưởng sử dụng những thứ này để có thể tấn công những người dùng tò mò những người muốn kiểm tra và tìm hiểu cách một số lỗ hổng có thể bị khai thác bằng các công cụ được cung cấp, đây là tình huống lý tưởng để đưa mã độc vào tấn công người dùng.
Nó được báo cáo rằng trong nghiên cứu Tổng cộng có 47.313 kho khai thác đã được phân tích, bao gồm các lỗ hổng đã biết được xác định từ năm 2017 đến năm 2021. Phân tích khai thác cho thấy rằng 4893 (10,3%) trong số đó chứa mã thực hiện các hành động độc hại.
Đó là lý do tại sao người dùng quyết định sử dụng các khai thác đã xuất bản nên kiểm tra chúng trước tìm kiếm các chèn đáng ngờ và chỉ chạy khai thác trên các máy ảo được cách ly khỏi hệ thống chính.
Khai thác bằng chứng về khái niệm (PoC) cho các lỗ hổng đã biết được chia sẻ rộng rãi trong cộng đồng bảo mật. Chúng giúp các nhà phân tích bảo mật học hỏi lẫn nhau và tạo điều kiện thuận lợi cho việc đánh giá bảo mật và hợp tác mạng.
Trong vài năm qua, việc phân phối PoC thông qua các trang web và nền tảng, cũng như thông qua các kho mã công khai như GitHub đã trở nên khá phổ biến. Tuy nhiên, kho lưu trữ mã công khai không cung cấp bất kỳ đảm bảo nào rằng bất kỳ PoC nào đã cho đều đến từ một nguồn đáng tin cậy hoặc thậm chí rằng nó chỉ đơn giản làm chính xác những gì nó phải làm.
Trong bài báo này, chúng tôi điều tra các PoC được chia sẻ trên GitHub để biết các lỗ hổng đã biết được phát hiện trong năm 2017–2021. Chúng tôi phát hiện ra rằng không phải tất cả các PoC đều đáng tin cậy.
Về vấn đề hai loại khai thác độc hại chính đã được xác định: Các hoạt động khai thác có chứa mã độc hại, chẳng hạn như để mở cửa hậu hệ thống, tải xuống Trojan hoặc kết nối máy với mạng botnet và khai thác để thu thập và gửi thông tin nhạy cảm về người dùng.
Bên cạnh đó, một lớp khai thác giả vô hại riêng biệt cũng đã được xác định không thực hiện các hành động độc hại, nhưng chúng cũng không chứa chức năng mong đợi, chẳng hạn, được thiết kế để lừa hoặc cảnh báo người dùng chạy mã chưa được xác minh từ mạng.
Một số bằng chứng về khái niệm là không có thật (tức là chúng không thực sự cung cấp chức năng PoC), hoặc
thậm chí độc hại: ví dụ: họ cố gắng tách dữ liệu từ hệ thống mà họ đang chạy hoặc cố gắng cài đặt phần mềm độc hại trên hệ thống đó.Để giải quyết vấn đề này, chúng tôi đã đề xuất một cách tiếp cận để phát hiện liệu PoC có độc hại hay không. Cách tiếp cận của chúng tôi dựa trên việc phát hiện các triệu chứng mà chúng tôi đã quan sát thấy trong tập dữ liệu đã thu thập, để
ví dụ, các cuộc gọi đến các địa chỉ IP độc hại, mã được mã hóa hoặc các tệp nhị phân bị trojanized đi kèm.Sử dụng cách tiếp cận này, chúng tôi đã phát hiện ra 4893 kho chứa mã độc trong số 47313
kho lưu trữ đã được tải xuống và xác minh (nghĩa là 10,3% kho lưu trữ được nghiên cứu có chứa mã độc). Con số này cho thấy mức độ phổ biến đáng lo ngại của các PoC độc hại nguy hiểm trong số các mã khai thác được phân phối trên GitHub.
Các biện pháp kiểm tra khác nhau đã được sử dụng để phát hiện các hành vi khai thác độc hại:
- Mã khai thác đã được phân tích về sự hiện diện của các địa chỉ IP công cộng có dây, sau đó các địa chỉ được xác định sẽ được xác minh thêm dựa trên cơ sở dữ liệu nằm trong danh sách đen của các máy chủ được sử dụng để kiểm soát botnet và phân phối các tệp độc hại.
- Các khai thác được cung cấp ở dạng biên dịch đã được kiểm tra bằng phần mềm diệt vi rút.
- Đã phát hiện thấy sự hiện diện của các phần chèn hoặc phần chèn thập lục phân không điển hình ở định dạng base64 trong mã, sau đó cho biết các phần chèn đã được giải mã và nghiên cứu.
Nó cũng được khuyến nghị cho những người dùng muốn tự mình thực hiện các thử nghiệm, nên sử dụng các nguồn như Exploit-DB vì những nguồn này cố gắng xác nhận tính hiệu quả và hợp pháp của các PoC. Ngược lại, mã công khai trên các nền tảng như GitHub không có quy trình xác minh khai thác.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể tham khảo thông tin chi tiết về nghiên cứu trong file sau, từ đó bạn Tôi chia sẻ liên kết của bạn.