Forscher der Universität Leiden (Niederlande) untersuchten das Problem der Veröffentlichung fiktiver Exploit-Prototypen auf GitHub, die bösartigen Code enthielten, um Benutzer anzugreifen, die versuchten, den Exploit zur Suche nach einer Schwachstelle zu verwenden. Insgesamt wurden 47313 Exploit-Repositories analysiert, die bekannte Schwachstellen abdecken, die zwischen 2017 und 2021 identifiziert wurden. Eine Analyse der Exploits ergab, dass 4893 (10.3 %) davon Code enthalten, der bösartige Aktionen ausführt. Benutzern, die sich für die Verwendung veröffentlichter Exploits entscheiden, wird empfohlen, diese zunächst auf verdächtige Einfügungen zu untersuchen und Exploits nur in vom Hauptsystem isolierten virtuellen Maschinen auszuführen.
Es wurden zwei Hauptkategorien bösartiger Exploits identifiziert: Exploits, die bösartigen Code enthalten, um beispielsweise eine Hintertür im System zu hinterlassen, einen Trojaner herunterzuladen oder eine Maschine mit einem Botnetz zu verbinden, und Exploits, die vertrauliche Informationen über den Benutzer sammeln und senden . Darüber hinaus wurde auch eine eigene Klasse harmloser Schein-Exploits identifiziert, die keine böswilligen Aktionen ausführen, aber auch nicht die erwartete Funktionalität enthalten, die beispielsweise darauf abzielt, Benutzer irrezuführen oder zu warnen, die nicht verifizierten Code aus dem Netzwerk ausführen.
Zur Erkennung bösartiger Exploits wurden mehrere Prüfungen durchgeführt:
- Der Exploit-Code wurde auf das Vorhandensein kabelgebundener öffentlicher IP-Adressen analysiert. Anschließend wurden die identifizierten Adressen zusätzlich mit Datenbanken mit Blacklists von Hosts abgeglichen, die zur Kontrolle von Botnetzen und zur Verbreitung schädlicher Dateien verwendet werden.
- Die in kompilierter Form bereitgestellten Exploits wurden mit Antivirensoftware überprüft.
- Im Code wurde das Vorhandensein atypischer hexadezimaler Dumps oder Einfügungen im Base64-Format festgestellt, woraufhin diese Einfügungen dekodiert und untersucht wurden.
Source: opennet.ru