オランダのライデン大学の研究者らは、GitHub上で偽の脆弱性テスト用プロトタイプが使用されている状況を調査した。これらのプロトタイプには、脆弱性をテストするためにエクスプロイトを使用しようとしたユーザーを攻撃するように設計された悪意のあるコードが含まれている。2017年から2021年の間に特定された既知の脆弱性を網羅する、合計47313件のエクスプロイトリポジトリが分析された。エクスプロイトの分析の結果、4893件(10.3%)に悪意のあるコードが含まれていることが判明した。公開されているエクスプロイトを使用することを決定したユーザーは、まず不審な挿入がないか確認し、隔離されたシステムでのみエクスプロイトを実行することが推奨される。 仮想マシン.
悪意のあるエクスプロイトには主に XNUMX つのカテゴリが確認されています。XNUMX つはシステムにバックドアを残す、トロイの木馬をダウンロードする、マシンをボットネットに接続するなどの悪意のあるコードを含むエクスプロイト、もう XNUMX つはユーザーに関する機密情報を収集して送信するエクスプロイトです。 。 さらに、悪意のあるアクションは実行しないが、期待される機能が含まれていない別のクラスの無害な偽のエクスプロイトも確認されています。たとえば、ネットワークから未検証のコードを実行しているユーザーに誤解を与えたり、警告したりするために作成されたものです。
悪意のあるエクスプロイトを特定するために、いくつかのチェックが使用されました。
- エクスプロイトコードには、埋め込まれた公開鍵の存在が分析された。 IPアドレスその後、特定されたアドレスは、ボットネットの制御や悪意のあるファイルの配布に使用されるホストのブラックリストを含むデータベースと照合されてさらにチェックされました。
- コンパイルされた形式で提供されたエクスプロイトは、ウイルス対策ソフトウェアでチェックされました。
- コードには、異常な 64 進ダンプまたは BaseXNUMX 形式の挿入が存在することが特定され、その後、これらの挿入がデコードされて検査されました。
出所: オープンネット.ru
