محققان دانشگاه لیدن در هلند موضوع ارسال نمونههای اولیه سوء استفاده ساختگی را در GitHub بررسی کردند که حاوی کدهای مخرب برای حمله به کاربرانی بودند که سعی داشتند از این اکسپلویت برای آزمایش آسیبپذیری استفاده کنند. در مجموع 47313 مخزن اکسپلویت مورد تجزیه و تحلیل قرار گرفت که آسیب پذیری های شناخته شده شناسایی شده از سال 2017 تا 2021 را پوشش می دهد. تجزیه و تحلیل اکسپلویت ها نشان داد که 4893 (10.3%) از آنها حاوی کدهایی هستند که اقدامات مخرب را انجام می دهند. به کاربرانی که تصمیم به استفاده از اکسپلویت های منتشر شده دارند، توصیه می شود ابتدا آنها را از نظر وجود درج های مشکوک بررسی کنند و اکسپلویت ها را فقط در ماشین های مجازی جدا شده از سیستم اصلی اجرا کنند.
دو دسته اصلی از سوء استفادههای مخرب شناسایی شدهاند: اکسپلویتهایی که حاوی کدهای مخرب هستند، به عنوان مثال، برای ترک درب پشتی در سیستم، دانلود یک تروجان یا اتصال یک ماشین به یک باتنت، و سوء استفادههایی که اطلاعات محرمانه کاربر را جمعآوری و ارسال میکنند. . علاوه بر این، یک کلاس جداگانه از سوء استفادههای جعلی بیضرر نیز شناسایی شدهاند که اقدامات مخربی را انجام نمیدهند، اما دارای عملکرد مورد انتظار نیستند، به عنوان مثال، ایجاد شده برای گمراه کردن یا هشدار دادن به کاربرانی که کد تأیید نشده از شبکه را اجرا میکنند.
چندین بررسی برای شناسایی سوء استفاده های مخرب استفاده شد:
- کد اکسپلویت برای حضور آدرسهای IP عمومی تعبیهشده تجزیه و تحلیل شد، پس از آن آدرسهای شناسایی شده علاوه بر پایگاههای داده با لیست سیاه میزبانهایی که برای مدیریت باتنتها و توزیع فایلهای مخرب استفاده میشوند، بررسی شدند.
- اکسپلویت های ارائه شده به صورت کامپایل شده در نرم افزار آنتی ویروس بررسی شدند.
- این کد برای وجود داپهای هگزادسیمال یا درجهای غیرمعمول در قالب base64 شناسایی شد، پس از آن این درجها رمزگشایی و بررسی شدند.
منبع: opennet.ru