通过采用旧方法并改进欺骗受害者的方式,引入恶意代码的方式不断发展。
看起来 特洛伊木马的想法在今天仍然很有用 并且以如此微妙的方式,我们中的许多人可能会被忽视,最近来自莱顿大学(荷兰)的研究人员 研究了在 GitHub 上发布虚构的漏洞利用原型的问题。
的想法 使用这些能够攻击好奇的用户 谁想要测试和了解如何使用所提供的工具来利用某些漏洞,使得这种情况成为引入恶意代码攻击用户的理想选择。
据悉,在研究 总共分析了 47.313 个漏洞利用存储库, 涵盖从 2017 年到 2021 年发现的已知漏洞。利用分析表明,其中 4893 个(10,3%)包含执行恶意操作的代码。
这就是为什么 建议决定使用已发布漏洞的用户先检查它们 仅在与主系统隔离的虚拟机上查找可疑插入和运行漏洞。
针对已知漏洞的概念证明 (PoC) 漏洞利用在安全社区中得到广泛分享。 它们帮助安全分析师相互学习,促进安全评估和网络合作。
在过去几年中,通过网站和平台以及通过 GitHub 等公共代码存储库分发 PoC 变得非常流行。 但是,公共代码存储库不能保证任何给定的 PoC 来自受信任的来源,甚至不能保证它只是做它应该做的事情。
在本文中,我们针对 2017-2021 年发现的已知漏洞调查了 GitHub 上的共享 PoC。 我们发现并非所有 PoC 都是值得信赖的。
关于问题 已识别出两大类恶意攻击:包含恶意代码的漏洞利用,例如后门系统、下载木马或将机器连接到僵尸网络,以及收集和发送有关用户的敏感信息的漏洞利用。
另外, 还发现了另一类无害的虚假攻击 不执行恶意操作, 但它们也不包含预期的功能,例如,旨在欺骗或警告从网络运行未经验证的代码的用户。
一些概念证明是虚假的(即它们实际上不提供 PoC 功能),或者
甚至是恶意的:例如,他们试图从正在运行的系统中窃取数据,或者尝试在该系统上安装恶意软件。为了解决这个问题,我们提出了一种检测 PoC 是否恶意的方法。 我们的方法基于检测我们在收集的数据集中观察到的症状,例如
例如,调用恶意 IP 地址、加密代码或包含特洛伊木马的二进制文件。使用这种方法,我们在 4893 个中发现了 47313 个恶意存储库
已下载和验证的存储库(即研究的存储库中有 10,3% 存在恶意代码)。 该图显示了在 GitHub 上分发的漏洞利用代码中危险的恶意 PoC 的普遍存在,令人担忧。
各种检查用于检测恶意攻击:
- 分析漏洞利用代码是否存在有线公共 IP 地址,然后根据用于控制僵尸网络和分发恶意文件的主机黑名单数据库进一步验证识别的地址。
- 以编译形式提供的漏洞利用已通过防病毒软件检查。
- 在代码中检测到非典型十六进制转储或 base64 格式的插入,然后对所述插入进行解码和研究。
还建议那些喜欢自己进行测试的用户,将 Exploit-DB 等资源放在首位,因为这些资源试图验证 PoC 的有效性和合法性。 相反,因为 GitHub 等平台上的公共代码没有漏洞利用验证过程。
最后 如果您有兴趣了解更多有关它的信息,您可以在以下文件中查阅研究的详细信息,您可以从中 我分享你的链接。