ProHoster > blog > internetnieuws > Analyse van de aanwezigheid van kwaadaardige code in exploits die op GitHub zijn gepubliceerd

Analyse van de aanwezigheid van kwaadaardige code in exploits die op GitHub zijn gepubliceerd

Onderzoekers van de Universiteit Leiden in Nederland onderzochten het probleem van het plaatsen van dummy-exploit-prototypes op GitHub, die kwaadaardige code bevatten om gebruikers aan te vallen die de exploit probeerden te gebruiken om te testen op een kwetsbaarheid. Er zijn in totaal 47313 opslagplaatsen voor exploits geanalyseerd, waarin bekende kwetsbaarheden zijn opgenomen die tussen 2017 en 2021 zijn geïdentificeerd. Uit analyse van exploits blijkt dat 4893 exploits (10.3%) code bevatten die kwaadaardige acties uitvoert. Gebruikers die besluiten gepubliceerde exploits te gebruiken, wordt aangeraden deze eerst te onderzoeken op de aanwezigheid van verdachte inserts en exploits alleen uit te voeren op virtuele machines die geïsoleerd zijn van het hoofdsysteem.

Er zijn twee hoofdcategorieën kwaadaardige exploits geïdentificeerd: exploits die kwaadaardige code bevatten, bijvoorbeeld om een ​​achterdeur in het systeem achter te laten, een Trojaans paard te downloaden of een machine met een botnet te verbinden, en exploits die vertrouwelijke informatie over de gebruiker verzamelen en verzenden. . Daarnaast is er ook een aparte klasse van onschadelijke valse exploits geïdentificeerd die geen kwaadaardige acties uitvoeren, maar ook niet de verwachte functionaliteit bevatten, bijvoorbeeld gemaakt om gebruikers te misleiden of te waarschuwen die niet-geverifieerde code van het netwerk gebruiken.

Er zijn verschillende controles uitgevoerd om kwaadaardige exploits te identificeren:

  • De exploitcode werd geanalyseerd op de aanwezigheid van ingebedde publieke IP-adressen, waarna de geïdentificeerde adressen aanvullend werden gecontroleerd aan de hand van databases met zwarte lijsten van hosts die worden gebruikt om botnets te beheren en kwaadaardige bestanden te verspreiden.
  • De in gecompileerde vorm aangeleverde exploits zijn gecontroleerd in antivirussoftware.
  • De code werd geïdentificeerd op de aanwezigheid van ongebruikelijke hexadecimale dumps of invoegingen in base64-formaat, waarna deze invoegingen werden gedecodeerd en onderzocht.

Analyse van de aanwezigheid van kwaadaardige code in exploits die op GitHub zijn gepubliceerd


Bron: opennet.ru

Voeg een reactie