A holland Leiden Egyetem kutatói megvizsgálták a GitHubon ál-exploit prototípusok közzétételének kérdését, amelyek rosszindulatú kódot tartalmaznak, hogy megtámadják azokat a felhasználókat, akik a kihasználással próbálták meg tesztelni a sebezhetőséget. Összesen 47313 2017 kihasználási adattárat elemeztek, amelyek lefedik a 2021 és 4893 között azonosított ismert sebezhetőségeket. A kihasználások elemzése kimutatta, hogy közülük 10.3 (XNUMX%) tartalmaz rosszindulatú műveleteket végrehajtó kódot. Azoknak a felhasználóknak, akik úgy döntenek, hogy közzétett exploitokat használnak, azt javasoljuk, hogy először vizsgálják meg őket gyanús beillesztések jelenlétére, és csak a fő rendszertől elkülönített virtuális gépeken futtassanak exploitokat.
A rosszindulatú kizsákmányolások két fő kategóriáját azonosították: a rosszindulatú kódot tartalmazó exploitokat, amelyek például egy hátsó ajtót hagynak a rendszerben, egy trójai programot töltenek le, vagy egy gépet botnethez kapcsolnak, valamint azokat, amelyek bizalmas információkat gyűjtenek és küldenek a felhasználóról. . Ezen túlmenően az ártalmatlan hamis exploitok egy külön osztályát is azonosították, amelyek nem hajtanak végre rosszindulatú műveleteket, de nem tartalmazzák az elvárt funkcionalitást, például a hálózatról ellenőrizetlen kódot futtató felhasználók félrevezetésére vagy figyelmeztetésére készültek.
Számos ellenőrzést alkalmaztak a rosszindulatú visszaélések azonosítására:
- A kizsákmányoló kódot elemezték beágyazott nyilvános IP-címek jelenlétére, majd az azonosított címeket a botnetek kezelésére és a rosszindulatú fájlok terjesztésére használt gazdagépek feketelistájával ellátott adatbázisokhoz is ellenőrizték.
- A lefordított formában szállított exploitokat vírusirtó szoftverrel ellenőrizték.
- A kódot szokatlan hexadecimális kiíratok vagy beszúrások jelenlétére azonosították base64 formátumban, majd ezeket a beszúrásokat dekódolták és megvizsgálták.
Forrás: opennet.ru