Investigadors de la Universitat de Leiden als Països Baixos van examinar el problema de publicar prototips d'explotació ficticis a GitHub, que contenien codi maliciós per atacar els usuaris que van intentar utilitzar l'explotació per provar una vulnerabilitat. Es van analitzar un total de 47313 repositoris d'explotacions, que cobrien les vulnerabilitats conegudes identificades entre el 2017 i el 2021. L'anàlisi d'explotacions va mostrar que 4893 (10.3%) d'elles contenen codi que realitza accions malicioses. Es recomana als usuaris que decideixin utilitzar exploits publicats que primer els examinin per detectar la presència d'insercions sospitoses i executin exploits només en màquines virtuals aïllades del sistema principal.
S'han identificat dues categories principals d'explotacions malicioses: exploits que contenen codi maliciós, per exemple, per deixar una porta posterior al sistema, descarregar un troià o connectar una màquina a una botnet, i exploits que recullen i envien informació confidencial sobre l'usuari. . A més, també s'ha identificat una classe separada d'explotacions falses inofensives que no realitzen accions malicioses, però que tampoc contenen la funcionalitat esperada, per exemple, creada per enganyar o advertir els usuaris que executen codi no verificat des de la xarxa.
Es van utilitzar diverses comprovacions per identificar exploits maliciosos:
- El codi d'explotació es va analitzar per a la presència d'adreces IP públiques incrustades, després de la qual cosa les adreces identificades es van comprovar addicionalment amb bases de dades amb llistes negres d'amfitrions utilitzades per gestionar botnets i distribuir fitxers maliciosos.
- Els exploits subministrats en forma compilada es van comprovar amb un programari antivirus.
- El codi es va identificar per la presència d'abocaments hexadecimals inusuals o insercions en format base64, després de la qual cosa es van descodificar i examinar aquestes insercions.
Font: opennet.ru