I ricercatori dell’Università di Leiden nei Paesi Bassi hanno esaminato il problema della pubblicazione di prototipi di exploit fittizi su GitHub, contenenti codice dannoso per attaccare gli utenti che tentavano di utilizzare l’exploit per testare una vulnerabilità. Sono stati analizzati un totale di 47313 repository di exploit, che coprono le vulnerabilità note identificate dal 2017 al 2021. L'analisi degli exploit ha mostrato che 4893 (10.3%) di essi contengono codice che esegue azioni dannose. Si consiglia agli utenti che decidono di utilizzare gli exploit pubblicati di esaminarli prima per la presenza di inserti sospetti ed eseguire gli exploit solo su macchine virtuali isolate dal sistema principale.
Sono state identificate due categorie principali di exploit dannosi: exploit che contengono codice dannoso, ad esempio, per lasciare una backdoor nel sistema, scaricare un Trojan o connettere una macchina a una botnet, e exploit che raccolgono e inviano informazioni riservate sull'utente . Inoltre, è stata identificata anche una classe separata di exploit fasulli innocui che non eseguono azioni dannose, ma non contengono nemmeno le funzionalità previste, creati ad esempio per ingannare o avvisare gli utenti che eseguono codice non verificato dalla rete.
Sono stati utilizzati diversi controlli per identificare exploit dannosi:
- Nel codice dell'exploit è stata analizzata la presenza di indirizzi IP pubblici incorporati, quindi gli indirizzi identificati sono stati inoltre confrontati con database con liste nere di host utilizzati per gestire botnet e distribuire file dannosi.
- Gli exploit forniti in forma compilata sono stati controllati nel software antivirus.
- Il codice è stato identificato per la presenza di insoliti dump esadecimali o inserimenti in formato base64, dopo di che tali inserti sono stati decodificati ed esaminati.
Fonte: opennet.ru