Forskere fra Leiden University i Holland undersøgte spørgsmålet om at poste dummy exploit-prototyper på GitHub, indeholdende ondsindet kode til at angribe brugere, der forsøgte at bruge udnyttelsen til at teste for en sårbarhed. I alt 47313 udnyttelseslagre blev analyseret, der dækker kendte sårbarheder identificeret fra 2017 til 2021. Analyse af udnyttelser viste, at 4893 (10.3%) af dem indeholder kode, der udfører ondsindede handlinger. Brugere, der beslutter sig for at bruge offentliggjorte udnyttelser, anbefales først at undersøge dem for tilstedeværelsen af mistænkelige inserts og kun køre exploits på virtuelle maskiner, der er isoleret fra hovedsystemet.
To hovedkategorier af ondsindet udnyttelse er blevet identificeret: udnyttelser, der indeholder ondsindet kode, for eksempel at efterlade en bagdør i systemet, downloade en trojaner eller forbinde en maskine til et botnet, og udnyttelser, der indsamler og sender fortrolige oplysninger om brugeren . Derudover er der også identificeret en separat klasse af harmløse falske udnyttelser, som ikke udfører ondsindede handlinger, men som heller ikke indeholder den forventede funktionalitet, for eksempel oprettet for at vildlede eller advare brugere, der kører ubekræftet kode fra netværket.
Adskillige kontroller blev brugt til at identificere ondsindede udnyttelser:
- Udnyttelseskoden blev analyseret for tilstedeværelsen af indlejrede offentlige IP-adresser, hvorefter de identificerede adresser desuden blev tjekket mod databaser med sortlister over værter, der blev brugt til at administrere botnet og distribuere ondsindede filer.
- De udnyttelser, der blev leveret i kompileret form, blev kontrolleret i antivirussoftware.
- Koden blev identificeret for tilstedeværelsen af usædvanlige hexadecimale dumps eller insertioner i base64-format, hvorefter disse inserts blev afkodet og undersøgt.
Kilde: opennet.ru