قام باحثون من جامعة ليدن في هولندا بدراسة مسألة نشر نماذج وهمية للاستغلال على GitHub، تحتوي على تعليمات برمجية ضارة لمهاجمة المستخدمين الذين حاولوا استخدام الاستغلال لاختبار الثغرة الأمنية. وتم تحليل ما مجموعه 47313 مستودعًا للاستغلال، تغطي الثغرات الأمنية المعروفة التي تم تحديدها في الفترة من 2017 إلى 2021. وأظهر تحليل برمجيات استغلال الثغرات أن 4893 (10.3%) منها تحتوي على تعليمات برمجية تنفذ إجراءات ضارة. يُنصح المستخدمون الذين يقررون استخدام برامج استغلال الثغرات المنشورة بفحصها أولاً بحثًا عن وجود إدخالات مشبوهة وتشغيل برامج استغلال الثغرات فقط في الأجهزة الافتراضية المعزولة عن النظام الرئيسي.
تم تحديد فئتين رئيسيتين من عمليات الاستغلال الضارة: عمليات الاستغلال التي تحتوي على تعليمات برمجية ضارة، على سبيل المثال، لترك باب خلفي في النظام، أو تنزيل حصان طروادة، أو توصيل جهاز بشبكة الروبوتات، وعمليات الاستغلال التي تجمع وترسل معلومات سرية عن المستخدم . بالإضافة إلى ذلك، تم أيضًا تحديد فئة منفصلة من عمليات الاستغلال الزائفة غير الضارة التي لا تنفذ إجراءات ضارة، ولكنها أيضًا لا تحتوي على الوظائف المتوقعة، على سبيل المثال، تم إنشاؤها لتضليل أو لتحذير المستخدمين الذين يقومون بتشغيل تعليمات برمجية لم يتم التحقق منها من الشبكة.
تم استخدام العديد من عمليات التحقق لتحديد عمليات استغلال البرامج الضارة:
- تم تحليل كود الاستغلال للتأكد من وجود عناوين IP عامة مضمنة، وبعد ذلك تم فحص العناوين المحددة بشكل إضافي مقابل قواعد البيانات مع قوائم سوداء للمضيفين المستخدمة لإدارة شبكات الروبوتات وتوزيع الملفات الضارة.
- تم فحص الثغرات المتوفرة في شكل مجمع في برنامج مكافحة الفيروسات.
- تم التعرف على الكود لوجود عمليات تفريغ أو إدخالات سداسية عشرية غير عادية بتنسيق base64، وبعد ذلك تم فك تشفير هذه الإدخالات وفحصها.
المصدر: opennet.ru