Výzkumníci z Leiden University v Nizozemsku zkoumali problém zveřejňování falešných prototypů exploitů na GitHubu, obsahujících škodlivý kód k útoku na uživatele, kteří se pokusili využít exploit k testování zranitelnosti. Bylo analyzováno celkem 47313 2017 úložišť exploitů, které pokrývají známé zranitelnosti identifikované v letech 2021 až 4893. Analýza exploitů ukázala, že 10.3 (XNUMX %) z nich obsahuje kód, který provádí škodlivé akce. Uživatelům, kteří se rozhodnou použít publikované exploity, se doporučuje, aby je nejprve prozkoumali na přítomnost podezřelých insertů a spouštěli exploity pouze na virtuálních strojích izolovaných od hlavního systému.
Byly identifikovány dvě hlavní kategorie škodlivých exploitů: exploity, které obsahují škodlivý kód, například za účelem ponechání zadních vrátek v systému, stažení trojského koně nebo připojení stroje k botnetu, a exploity, které shromažďují a odesílají důvěrné informace o uživateli. . Kromě toho byla také identifikována samostatná třída neškodných falešných exploitů, které neprovádějí škodlivé akce, ale také neobsahují očekávanou funkcionalitu, například vytvořenou za účelem klamání nebo varování uživatelů spouštějících neověřený kód ze sítě.
K identifikaci škodlivých zneužití bylo použito několik kontrol:
- Exploatační kód byl analyzován na přítomnost vložených veřejných IP adres, poté byly identifikované adresy dodatečně zkontrolovány proti databázím s blacklisty hostitelů používaných ke správě botnetů a distribuci škodlivých souborů.
- Exploaty dodávané v kompilované podobě byly zkontrolovány v antivirovém softwaru.
- Kód byl identifikován kvůli přítomnosti neobvyklých hexadecimálních výpisů nebo vložení ve formátu base64, načež byly tyto vložky dekódovány a prozkoumány.
Zdroj: opennet.ru