Des chercheurs de l'Université de Leiden (Pays-Bas) ont étudié l'utilisation de faux prototypes d'exploits sur GitHub. Ces prototypes contenaient du code malveillant conçu pour attaquer les utilisateurs qui tentaient d'exploiter une vulnérabilité. Au total, 47 313 dépôts d'exploits ont été analysés, couvrant des vulnérabilités connues identifiées entre 2017 et 2021. L'analyse a révélé que 4 893 exploits (10.3 %) contenaient du code malveillant. Il est conseillé aux utilisateurs qui décident d'utiliser ces exploits de les examiner attentivement afin de détecter toute insertion suspecte et de ne les exécuter que sur des systèmes isolés. machines virtuelles.
Deux grandes catégories d'exploits malveillants ont été identifiées : les exploits contenant du code malveillant, par exemple pour ouvrir une porte dérobée dans le système, télécharger un cheval de Troie ou connecter une machine à un botnet, et les exploits qui collectent et envoient des informations confidentielles sur l'utilisateur. . En outre, une classe distincte de faux exploits inoffensifs a également été identifiée, qui n'effectuent pas d'actions malveillantes, mais ne contiennent pas non plus les fonctionnalités attendues, par exemple, créées pour induire en erreur ou avertir les utilisateurs exécutant du code non vérifié à partir du réseau.
Plusieurs contrôles ont été utilisés pour identifier les exploits malveillants :
- Le code d'exploitation a été analysé afin de détecter la présence de code public intégré. Adresses IP, après quoi les adresses identifiées ont été vérifiées en outre par rapport à des bases de données contenant des listes noires d'hôtes utilisés pour contrôler les réseaux de zombies et distribuer des fichiers malveillants.
- Les exploits fournis sous forme compilée ont été vérifiés dans un logiciel antivirus.
- Le code a été identifié pour la présence de dumps hexadécimaux inhabituels ou d'insertions au format base64, après quoi ces insertions ont été décodées et examinées.
Source: opennet.ru
