Des chercheurs de l'Université de Leiden aux Pays-Bas ont examiné la question de la publication de prototypes d'exploit factices sur GitHub, contenant du code malveillant pour attaquer les utilisateurs qui tentaient d'utiliser l'exploit pour tester une vulnérabilité. Au total, 47313 2017 référentiels d’exploits ont été analysés, couvrant les vulnérabilités connues identifiées de 2021 à 4893. L'analyse des exploits a montré que 10.3 XNUMX (XNUMX %) d'entre eux contiennent du code qui effectue des actions malveillantes. Il est recommandé aux utilisateurs qui décident d'utiliser des exploits publiés de les examiner d'abord pour détecter la présence d'insertions suspectes et d'exécuter les exploits uniquement sur des machines virtuelles isolées du système principal.
Deux grandes catégories d'exploits malveillants ont été identifiées : les exploits contenant du code malveillant, par exemple pour ouvrir une porte dérobée dans le système, télécharger un cheval de Troie ou connecter une machine à un botnet, et les exploits qui collectent et envoient des informations confidentielles sur l'utilisateur. . En outre, une classe distincte de faux exploits inoffensifs a également été identifiée, qui n'effectuent pas d'actions malveillantes, mais ne contiennent pas non plus les fonctionnalités attendues, par exemple, créées pour induire en erreur ou avertir les utilisateurs exécutant du code non vérifié à partir du réseau.
Plusieurs contrôles ont été utilisés pour identifier les exploits malveillants :
- Le code d'exploitation a été analysé pour détecter la présence d'adresses IP publiques intégrées, après quoi les adresses identifiées ont également été vérifiées par rapport à des bases de données contenant des listes noires d'hôtes utilisés pour gérer les botnets et distribuer des fichiers malveillants.
- Les exploits fournis sous forme compilée ont été vérifiés dans un logiciel antivirus.
- Le code a été identifié pour la présence de dumps hexadécimaux inhabituels ou d'insertions au format base64, après quoi ces insertions ont été décodées et examinées.
Source: opennet.ru