Ερευνητές από το Πανεπιστήμιο του Leiden στην Ολλανδία εξέτασαν το ζήτημα της ανάρτησης εικονικών πρωτοτύπων εκμετάλλευσης στο GitHub, που περιέχουν κακόβουλο κώδικα για να επιτεθούν σε χρήστες που προσπάθησαν να χρησιμοποιήσουν το exploit για να δοκιμάσουν μια ευπάθεια. Αναλύθηκαν συνολικά 47313 αποθετήρια εκμετάλλευσης, καλύπτοντας γνωστά τρωτά σημεία που εντοπίστηκαν από το 2017 έως το 2021. Η ανάλυση των exploits έδειξε ότι 4893 (10.3%) από αυτά περιέχουν κώδικα που εκτελεί κακόβουλες ενέργειες. Συνιστάται στους χρήστες που αποφασίζουν να χρησιμοποιήσουν δημοσιευμένες εκμεταλλεύσεις να τις εξετάσουν πρώτα για την παρουσία ύποπτων ένθετων και να εκτελούν εκμεταλλεύσεις μόνο σε εικονικές μηχανές που είναι απομονωμένες από το κύριο σύστημα.
Έχουν εντοπιστεί δύο κύριες κατηγορίες κακόβουλων εκμεταλλεύσεων: εκμεταλλεύσεις που περιέχουν κακόβουλο κώδικα, για παράδειγμα, για να αφήσουν μια κερκόπορτα στο σύστημα, λήψη ενός Trojan ή σύνδεση ενός μηχανήματος σε ένα botnet και εκμεταλλεύσεις που συλλέγουν και στέλνουν εμπιστευτικές πληροφορίες για τον χρήστη . Επιπλέον, έχει επίσης εντοπιστεί μια ξεχωριστή κατηγορία αβλαβών ψευδών εκμεταλλεύσεων που δεν εκτελούν κακόβουλες ενέργειες, αλλά δεν περιέχουν επίσης την αναμενόμενη λειτουργικότητα, για παράδειγμα, που δημιουργήθηκαν για να παραπλανήσουν ή να προειδοποιήσουν τους χρήστες που εκτελούν μη επαληθευμένο κώδικα από το δίκτυο.
Χρησιμοποιήθηκαν διάφοροι έλεγχοι για τον εντοπισμό κακόβουλων εκμεταλλεύσεων:
- Ο κώδικας εκμετάλλευσης αναλύθηκε για την παρουσία ενσωματωμένων δημόσιων διευθύνσεων IP, μετά την οποία οι προσδιοριζόμενες διευθύνσεις ελέγχθηκαν επιπλέον σε βάσεις δεδομένων με μαύρες λίστες κεντρικών υπολογιστών που χρησιμοποιούνται για τη διαχείριση botnet και τη διανομή κακόβουλων αρχείων.
- Τα exploits που παρέχονται σε μεταγλωττισμένη μορφή ελέγχθηκαν σε λογισμικό προστασίας από ιούς.
- Ο κωδικός αναγνωρίστηκε για την παρουσία ασυνήθιστων δεκαεξαδικών χωματερών ή εισαγωγών σε μορφή base64, μετά την οποία αυτά τα ένθετα αποκωδικοποιήθηκαν και εξετάστηκαν.
Πηγή: opennet.ru