Investigadores da Universidade de Leiden (Países Baixos) estudaron a cuestión da publicación de prototipos de exploits ficticios en GitHub que conteñan código malicioso para atacar aos usuarios que intentaron utilizar o exploit para comprobar a existencia dunha vulnerabilidade. Analizáronse un total de 47313 repositorios de explotación, que abarcan vulnerabilidades coñecidas identificadas entre 2017 e 2021. Unha análise de exploits mostrou que 4893 (10.3%) deles conteñen código que realiza accións maliciosas. Recoméndase aos usuarios que decidan usar exploits publicados que primeiro os examinen para detectar insercións sospeitosas e que executen exploits só en máquinas virtuais illadas do sistema principal.
Identificáronse dúas categorías principais de ataques maliciosos: exploits que conteñen código malicioso, por exemplo, para deixar unha porta traseira no sistema, descargar un troiano ou conectar unha máquina a unha botnet, e exploits que recollen e envían información confidencial sobre o usuario. . Ademais, tamén se identificou unha clase separada de exploits falsos inofensivos que non realizan accións maliciosas, pero que tampouco conteñen a funcionalidade esperada, por exemplo, deseñadas para enganar ou advertir aos usuarios que executan código non verificado desde a rede.
Utilizáronse varias comprobacións para detectar ataques maliciosos:
- O código de explotación analizouse para detectar a presenza de enderezos IP públicos cableados, despois de que os enderezos identificados foron verificados adicionalmente con bases de datos con listas negras de hosts utilizados para controlar as redes de bots e distribuír ficheiros maliciosos.
- Comprobáronse os exploits proporcionados en forma compilada con software antivirus.
- No código detectouse a presenza de vertidos hexadecimais atípicos ou insercións en formato base64, despois de que estas insercións foron decodificadas e estudadas.
Fonte: opennet.ru