Undersikers fan 'e Universiteit Leien yn Nederlân ûndersochten it probleem fan it pleatsen fan dummy-exploitprototypen op GitHub, mei kweade koade om brûkers oan te fallen dy't besochten de eksploitaasje te brûken om te testen op in kwetsberens. In totaal fan 47313 eksploitaasjebewarplakken waarden analysearre, dy't bekende kwetsberens dekke identifisearre fan 2017 oant 2021. Analyse fan eksploaten liet sjen dat 4893 (10.3%) fan harren koade befetsje dy't kweade aksjes útfiere. Brûkers dy't beslute om publisearre eksploaten te brûken, wurde oanrikkemandearre om se earst te ûndersiikjen foar de oanwêzigens fan fertochte ynserts en eksploaten allinich út te fieren yn firtuele masines isolearre fan it haadsysteem.
Twa haadkategoryen fan kweade eksploaten binne identifisearre: eksploaten dy't kweade koade befetsje, bygelyks om in efterdoar yn it systeem te litten, in Trojan te downloaden, of in masine te ferbinen mei in botnet, en eksploaten dy't fertroulike ynformaasje sammelje en ferstjoere oer de brûker . Dêrnjonken is ek in aparte klasse fan harmless falske eksploaten identifisearre dy't gjin kweade aksjes útfiere, mar ek net de ferwachte funksjonaliteit befetsje, bygelyks makke om te mislieden of te warskôgjen brûkers dy't net ferifiearre koade fan it netwurk útfiere.
Ferskate kontrôles waarden brûkt om kweade eksploaten te identifisearjen:
- De eksploitaasjekoade waard analysearre foar de oanwêzigens fan ynbêde iepenbiere IP-adressen, wêrnei't de identifisearre adressen ek kontrolearre waarden tsjin databases mei swartelisten fan hosts dy't brûkt wurde om botnets te behearjen en kweade bestannen te fersprieden.
- De eksploaten levere yn kompilearre foarm waarden kontrolearre yn anty-firus software.
- De koade waard identifisearre foar de oanwêzigens fan ûngewoane heksadesimale dumps of ynfoegingen yn base64-formaat, wêrnei't dizze ynserts waarden dekodearre en ûndersocht.
Boarne: opennet.ru