オランダのライデン大学の研究者は、脆弱性をテストするためにエクスプロイトを使用しようとしたユーザーを攻撃する悪意のあるコードを含むダミーのエクスプロイト プロトタイプを GitHub に投稿する問題を調査しました。 合計 47313 のエクスプロイト リポジトリが分析され、2017 年から 2021 年に特定された既知の脆弱性がカバーされました。 エクスプロイトを分析したところ、そのうち 4893 件 (10.3%) に悪意のあるアクションを実行するコードが含まれていることがわかりました。 公開されたエクスプロイトを使用することを決定したユーザーは、まず疑わしい挿入が存在するかどうかを検査し、メイン システムから隔離された仮想マシンでのみエクスプロイトを実行することをお勧めします。
悪意のあるエクスプロイトには主に XNUMX つのカテゴリが確認されています。XNUMX つはシステムにバックドアを残す、トロイの木馬をダウンロードする、マシンをボットネットに接続するなどの悪意のあるコードを含むエクスプロイト、もう XNUMX つはユーザーに関する機密情報を収集して送信するエクスプロイトです。 。 さらに、悪意のあるアクションは実行しないが、期待される機能が含まれていない別のクラスの無害な偽のエクスプロイトも確認されています。たとえば、ネットワークから未検証のコードを実行しているユーザーに誤解を与えたり、警告したりするために作成されたものです。
悪意のあるエクスプロイトを特定するために、いくつかのチェックが使用されました。
- エクスプロイト コードは、埋め込まれたパブリック IP アドレスの存在について分析され、その後、特定されたアドレスが、ボットネットの管理と悪意のあるファイルの配布に使用されるホストのブラックリストを備えたデータベースとさらに照合されました。
- コンパイルされた形式で提供されたエクスプロイトは、ウイルス対策ソフトウェアでチェックされました。
- コードには、異常な 64 進ダンプまたは BaseXNUMX 形式の挿入が存在することが特定され、その後、これらの挿入がデコードされて検査されました。
出所: オープンネット.ru