Даследнікі з Лейдэнскага ўніверсітэта (Нідэрланды) вывучылі пытанне размяшчэння на GitHub фіктыўных прататыпаў эксплоітаў, якія змяшчаюць шкоднасны код для нападу на карыстачоў, якія паспрабавалі выкарыстаць эксплоіт для праверкі наяўнасці ўразлівасці. Усяго было прааналізавана 47313 рэпазітароў з эксплоітамі, якія ахопліваюць вядомыя ўразлівасці, выяўленыя з 2017 па 2021 год. Аналіз эксплоітаў паказаў, што ў 4893 (10.3/XNUMX%) з іх прысутнічае код, які здзяйсняе шкоднасныя дзеянні. Карыстачам, якія вырашылі скарыстацца публікуемымі эксплоітамі, рэкамендуецца папярэдне вывучыць іх на прадмет наяўнасці падазроных уставак і запускаць эксплоіты толькі ў ізаляваных ад асноўнай сістэмы віртуальных машынах.
Выяўлена дзве асноўныя катэгорыі шкоднасных эксплоітаў - эксплоіты, якія змяшчаюць шкоднасны код, напрыклад, для пакідання ў сістэме бэкдора, загрузкі траяна або падлучэнні машыны да ботнету, і эксплоіты збіраюць і якія адпраўляюць канфідэнцыйную інфармацыю аб карыстачу. Акрамя таго, таксама выяўлены асобны клас бяскрыўдных фіктыўных эксплоітаў, якія не выконваюць шкоднасных дзеянняў, але і не ўтрымоўваюць чаканай функцыянальнасці, напрыклад, створаны для ўводзін у памылку ці для таго каб перасцерагчы карыстачоў, якія запускаюць неправераны код з сеткі.
Для выяўлення шкоднасных эксплоітаў выкарыстоўвалася некалькі праверак:
- Код эксплоітаў аналізаваўся на наяўнасць ушытых публічных IP-адрасоў, пасля чаго выяўленыя адрасы дадаткова правяраліся па базах з чорнымі спісамі хастоў, выкарыстоўваных для кіравання ботнетамі і распаўсюджванні шкоднасных файлаў.
- Якія пастаўляюцца ў скампіляванай форме эксплоіты правяраліся ў антывірусным ПА.
- У кодзе выяўлялася наяўнасць нетыповых шаснаццатковых дампаў ці ўставак у фармаце base64, пасля чаго гэтыя ўстаўкі дэкадаваліся і вывучаліся.
Крыніца: opennet.ru