通過採用舊方法並改進欺騙受害者的方式,引入惡意代碼的方式不斷發展。
看起來 特洛伊木馬的想法在今天仍然很有用 並且以如此微妙的方式,我們中的許多人可能會被忽視,最近來自萊頓大學(荷蘭)的研究人員 研究了在 GitHub 上發布虛構的漏洞利用原型的問題。
的想法 使用這些能夠攻擊好奇的用戶 誰想要測試和了解如何使用所提供的工具來利用某些漏洞,使得這種情況成為引入惡意代碼攻擊用戶的理想選擇。
據悉,在研究 總共分析了 47.313 個漏洞利用存儲庫, 涵蓋從 2017 年到 2021 年發現的已知漏洞。利用分析表明,其中 4893 個(10,3%)包含執行惡意操作的代碼。
這就是原因 建議決定使用已發布漏洞的用戶先檢查它們 僅在與主系統隔離的虛擬機上查找可疑插入和運行漏洞。
針對已知漏洞的概念證明 (PoC) 漏洞利用在安全社區中得到廣泛分享。 它們幫助安全分析師相互學習,促進安全評估和網絡合作。
在過去幾年中,通過網站和平台以及通過 GitHub 等公共代碼存儲庫分發 PoC 變得非常流行。 但是,公共代碼存儲庫不能保證任何給定的 PoC 來自受信任的來源,甚至不能保證它完全按照它應該做的事情做。
在本文中,我們針對 2017-2021 年發現的已知漏洞調查了 GitHub 上的共享 PoC。 我們發現並非所有 PoC 都是值得信賴的。
關於問題 已識別出兩大類惡意攻擊:包含惡意代碼的漏洞利用,例如後門系統、下載木馬或將機器連接到殭屍網絡,以及收集和發送有關用戶的敏感信息的漏洞利用。
另外, 還發現了另一類無害的虛假攻擊 不執行惡意操作, 但它們也不包含預期的功能,例如,旨在欺騙或警告從網絡運行未經驗證的代碼的用戶。
一些概念證明是虛假的(即它們實際上不提供 PoC 功能),或者
甚至是惡意的:例如,他們試圖從正在運行的系統中竊取數據,或者嘗試在該系統上安裝惡意軟件。為了解決這個問題,我們提出了一種檢測 PoC 是否惡意的方法。 我們的方法基於檢測我們在收集的數據集中觀察到的症狀,例如
例如,調用惡意 IP 地址、加密代碼或包含特洛伊木馬的二進製文件。使用這種方法,我們在 4893 個中發現了 47313 個惡意存儲庫
已下載和驗證的存儲庫(即研究的存儲庫中有 10,3% 存在惡意代碼)。 該圖顯示了在 GitHub 上分發的漏洞利用代碼中危險的惡意 PoC 的普遍存在,令人擔憂。
各種檢查用於檢測惡意攻擊:
- 分析漏洞利用代碼是否存在有線公共 IP 地址,然後根據用於控制殭屍網絡和分發惡意文件的主機黑名單數據庫進一步驗證識別的地址。
- 以編譯形式提供的漏洞利用已通過防病毒軟件檢查。
- 在代碼中檢測到非典型十六進制轉儲或 base64 格式的插入,然後對所述插入進行解碼和研究。
還建議那些喜歡自己進行測試的用戶,將 Exploit-DB 等資源放在首位,因為這些資源試圖驗證 PoC 的有效性和合法性。 相反,因為 GitHub 等平台上的公共代碼沒有漏洞利用驗證過程。
終於 如果您有興趣了解更多信息,您可以在以下文件中查閱研究的詳細信息,您可以從中 我分享你的鏈接。