Alankomaiden Leidenin yliopiston tutkijat tutkivat ongelmaa GitHubissa haitallista koodia sisältävien valehyödyntämisprototyyppien lähettämisestä käyttäjiä vastaan, jotka yrittivät käyttää hyväksikäyttöä haavoittuvuuden testaamiseen. Yhteensä 47313 2017 hyväksikäyttötietovarastoa analysoitiin, ja ne kattavat tunnetut haavoittuvuudet, jotka tunnistettiin vuosina 2021–4893. Hyökkäysten analyysi osoitti, että 10.3 (XNUMX %) niistä sisältää koodia, joka suorittaa haitallisia toimia. Käyttäjien, jotka päättävät käyttää julkaistuja hyväksikäyttöä, suositellaan ensin tutkimaan ne epäilyttävien lisäosien varalta ja suorittamaan hyväksikäyttöä vain pääjärjestelmästä eristetyissä virtuaalikoneissa.
Haitallisia hyväksikäyttöjä on tunnistettu kaksi pääluokkaa: haitallista koodia sisältävät hyväksikäytöt, jotka esimerkiksi jättävät takaoven järjestelmään, lataavat troijalaisen tai yhdistävät koneen botnet-verkkoon, sekä hyväksikäytöt, jotka keräävät ja lähettävät luottamuksellisia tietoja käyttäjästä. . Lisäksi on tunnistettu erillinen luokka vaarattomia väärennöksiä, jotka eivät suorita haitallisia toimia, mutta eivät myöskään sisällä odotettuja toimintoja, esimerkiksi luotuja johtamaan harhaan tai varoittamaan käyttäjiä, jotka käyttävät verkosta vahvistamatonta koodia.
Haitallisten hyväksikäyttöjen tunnistamiseen käytettiin useita tarkistuksia:
- Hyökkäyskoodi analysoitiin sulautettujen julkisten IP-osoitteiden varalta, minkä jälkeen tunnistetut osoitteet tarkastettiin lisäksi tietokantoihin, joissa oli mustia listoja isännistä, joita käytetään botnettien hallintaan ja haitallisten tiedostojen levittämiseen.
- Käännetyssä muodossa toimitetut hyväksikäytöt tarkistettiin virustorjuntaohjelmistolla.
- Koodi tunnistettiin epätavallisten heksadesimaalivedosten tai lisäysten esiintymisen perusteella base64-muodossa, minkä jälkeen nämä lisäykset dekoodattiin ja tutkittiin.
Lähde: opennet.ru