Leiden Universitetinin (Hollandiya) tədqiqatçıları GitHub-da zəifliyi yoxlamaq üçün istismardan istifadə etməyə cəhd edən istifadəçilərə hücum etmək üçün zərərli kodu ehtiva edən dummy istismar prototiplərinin yerləşdirilməsi məsələsini araşdırıblar. 47313-ci ildən 2017-ci ilə qədər müəyyən edilmiş məlum zəiflikləri əhatə edən ümumilikdə 2021 4893 istismar anbarı təhlil edilib. İstismarların təhlili göstərdi ki, onlardan 10.3-də (XNUMX%) zərərli hərəkətlər edən kodlar var. Dərc edilmiş istismarlardan istifadə etmək qərarına gələn istifadəçilərə əvvəlcə onları şübhəli əlavələrin olub-olmaması üçün yoxlamaları və istismarları yalnız əsas sistemdən təcrid olunmuş virtual maşınlarda işə salmaq tövsiyə olunur.
Zərərli istismarların iki əsas kateqoriyası müəyyən edilmişdir: zərərli kodu ehtiva edən istismarlar, məsələn, sistemdə arxa qapı buraxmaq, troyan yükləmək və ya maşını botnetə qoşmaq üçün istismarlar və istifadəçi haqqında məxfi məlumatları toplayan və göndərən istismarlar. . Bundan əlavə, zərərsiz hərəkətləri yerinə yetirməyən, eyni zamanda gözlənilən funksionallığı da ehtiva etməyən, məsələn, şəbəkədən təsdiqlənməmiş kod işlədən istifadəçiləri çaşdırmaq və ya xəbərdar etmək üçün yaradılan zərərsiz saxta istismarların ayrıca sinfi də müəyyən edilib.
Zərərli istismarları müəyyən etmək üçün bir neçə yoxlamadan istifadə edilmişdir:
- İstismar kodu daxili ictimai IP ünvanlarının olması üçün təhlil edilib, bundan sonra müəyyən edilmiş ünvanlar əlavə olaraq botnetləri idarə etmək və zərərli faylları yaymaq üçün istifadə edilən hostların qara siyahıları olan verilənlər bazası ilə yoxlanılıb.
- Tərtib edilmiş formada təqdim edilmiş ekspluatlar antivirus proqramında yoxlanılıb.
- Kod, base64 formatında qeyri-adi hexadecimal zibillərin və ya əlavələrin mövcudluğu üçün müəyyən edildi, bundan sonra bu əlavələr deşifrə edildi və araşdırıldı.
Mənbə: opennet.ru