Naukowcy z Uniwersytetu w Lejdzie (Holandia) zbadali wykorzystanie fałszywych prototypów exploitów w serwisie GitHub, zawierających złośliwy kod zaprojektowany do ataków na użytkowników, którzy próbowali wykorzystać je do testowania luk w zabezpieczeniach. Przeanalizowano łącznie 47 313 repozytoriów exploitów, obejmujących znane luki zidentyfikowane w latach 2017–2021. Analiza exploitów wykazała, że 4893 (10.3%) z nich zawierało złośliwy kod. Użytkownikom, którzy zdecydują się na wykorzystanie opublikowanych exploitów, zaleca się, aby najpierw sprawdzili je pod kątem podejrzanych wstawek i uruchamiali je wyłącznie w odizolowanych środowiskach. maszyny wirtualne.
Zidentyfikowano dwie główne kategorie złośliwych exploitów: exploity zawierające złośliwy kod, na przykład służący do pozostawienia backdoora w systemie, pobrania trojana lub podłączenia komputera do botnetu, oraz exploity, które zbierają i wysyłają poufne informacje o użytkowniku . Ponadto zidentyfikowano także osobną klasę nieszkodliwych fałszywych exploitów, które nie wykonują szkodliwych działań, ale też nie zawierają oczekiwanej funkcjonalności, stworzonej np. w celu wprowadzenia w błąd lub ostrzeżenia użytkowników uruchamiających niezweryfikowany kod z sieci.
Do zidentyfikowania złośliwych exploitów wykorzystano kilka kontroli:
- Przeanalizowano kod exploita pod kątem obecności osadzonego kodu publicznego Adresy IP, po czym zidentyfikowane adresy zostały dodatkowo sprawdzone pod kątem baz danych zawierających czarne listy hostów, służące do kontrolowania botnetów i rozpowszechniania złośliwych plików.
- Exploity dostarczone w postaci skompilowanej zostały sprawdzone w oprogramowaniu antywirusowym.
- W kodzie stwierdzono obecność nietypowych zrzutów lub wstawek w formacie szesnastkowym w formacie base64, po czym te wstawki zostały zdekodowane i sprawdzone.
Źródło: opennet.ru
