Badacze z Uniwersytetu w Lejdzie w Holandii zbadali kwestię publikowania na GitHubie fałszywych prototypów exploitów zawierających złośliwy kod służący do atakowania użytkowników, którzy próbowali wykorzystać exploit do sprawdzenia pod kątem luk. Łącznie przeanalizowano 47313 2017 repozytoriów exploitów, obejmujących znane luki zidentyfikowane w latach 2021–4893. Analiza exploitów wykazała, że 10.3 (XNUMX%) z nich zawiera kod wykonujący szkodliwe działania. Użytkownikom, którzy zdecydują się na wykorzystanie opublikowanych exploitów, zaleca się najpierw sprawdzić je pod kątem obecności podejrzanych wstawek i uruchamiać exploity wyłącznie na maszynach wirtualnych odizolowanych od głównego systemu.
Zidentyfikowano dwie główne kategorie złośliwych exploitów: exploity zawierające złośliwy kod, na przykład służący do pozostawienia backdoora w systemie, pobrania trojana lub podłączenia komputera do botnetu, oraz exploity, które zbierają i wysyłają poufne informacje o użytkowniku . Ponadto zidentyfikowano także osobną klasę nieszkodliwych fałszywych exploitów, które nie wykonują szkodliwych działań, ale też nie zawierają oczekiwanej funkcjonalności, stworzonej np. w celu wprowadzenia w błąd lub ostrzeżenia użytkowników uruchamiających niezweryfikowany kod z sieci.
Do zidentyfikowania złośliwych exploitów wykorzystano kilka kontroli:
- Kod exploita analizowano pod kątem obecności wbudowanych publicznych adresów IP, po czym zidentyfikowane adresy dodatkowo sprawdzano w oparciu o bazy danych zawierające czarne listy hostów wykorzystywanych do zarządzania botnetami i dystrybucji szkodliwych plików.
- Exploity dostarczone w postaci skompilowanej zostały sprawdzone w oprogramowaniu antywirusowym.
- W kodzie stwierdzono obecność nietypowych zrzutów lub wstawek w formacie szesnastkowym w formacie base64, po czym te wstawki zostały zdekodowane i sprawdzone.
Źródło: opennet.ru