Istraživači sa Sveučilišta Leiden (Nizozemska) proučavali su pitanje objavljivanja lažnih prototipova exploita na GitHubu, koji sadrže zlonamjerni kod za napad na korisnike koji su pokušali koristiti exploit za testiranje ranjivosti. Analizirano je ukupno 47313 spremišta exploita, pokrivajući poznate ranjivosti identificirane od 2017. do 2021. godine. Analiza exploita pokazala je da njih 4893 (10.3%) sadrži kod koji izvodi zlonamjerne radnje. Korisnicima koji odluče koristiti objavljene exploite savjetuje se da ih prvo ispitaju na prisutnost sumnjivih umetaka i pokreću exploite samo na virtualnim strojevima izoliranim od glavnog sustava.
Identificirane su dvije glavne kategorije zlonamjernih iskorištavanja: iskorištavanja koja sadrže zlonamjerni kod, na primjer, za ostavljanje stražnjih vrata u sustavu, preuzimanje trojanca ili spajanje stroja na botnet te iskorištavanja koja prikupljaju i šalju povjerljive informacije o korisniku . Osim toga, također je identificirana zasebna klasa bezopasnih lažnih eksploatacija koje ne izvode zlonamjerne radnje, ali također ne sadrže očekivanu funkcionalnost, na primjer, stvorene da obmanjuju ili upozoravaju korisnike koji pokreću neprovjereni kod s mreže.
Korišteno je nekoliko provjera za prepoznavanje zlonamjernih iskorištavanja:
- Eksploatacijski kod je analiziran na prisutnost ugrađenih javnih IP adresa, nakon čega su identificirane adrese dodatno provjerene u bazama podataka s crnim listama hostova koji se koriste za upravljanje botnetovima i distribuciju zlonamjernih datoteka.
- Eksploatacije dostavljene u kompajliranom obliku provjerene su u antivirusnom softveru.
- Kod je identificiran zbog prisutnosti neobičnih heksadecimalnih ispisa ili umetanja u formatu base64, nakon čega su ti umetci dekodirani i ispitani.
Izvor: opennet.ru