Pesquisadores da Universidade de Leiden, na Holanda, examinaram a questão da publicação de protótipos fictícios de exploração no GitHub, contendo código malicioso para atacar usuários que tentaram usar a exploração para testar uma vulnerabilidade. Foram analisados um total de 47313 repositórios de exploits, cobrindo vulnerabilidades conhecidas identificadas de 2017 a 2021. A análise das explorações mostrou que 4893 (10.3%) delas contêm código que executa ações maliciosas. Recomenda-se aos usuários que decidam usar exploits publicados que primeiro os examinem quanto à presença de inserções suspeitas e executem exploits apenas em máquinas virtuais isoladas do sistema principal.
Foram identificadas duas categorias principais de explorações maliciosas: explorações que contêm código malicioso, por exemplo, para deixar um backdoor no sistema, baixar um Trojan ou conectar uma máquina a uma botnet, e explorações que coletam e enviam informações confidenciais sobre o usuário . Além disso, também foi identificada uma classe separada de explorações falsas e inofensivas que não executam ações maliciosas, mas também não contêm a funcionalidade esperada, por exemplo, criadas para enganar ou alertar os usuários que executam código não verificado na rede.
Várias verificações foram usadas para identificar explorações maliciosas:
- O código de exploração foi analisado quanto à presença de endereços IP públicos incorporados, após o que os endereços identificados foram adicionalmente verificados em bancos de dados com listas negras de hosts usados para gerenciar botnets e distribuir arquivos maliciosos.
- As explorações fornecidas em formato compilado foram verificadas em software antivírus.
- O código foi identificado quanto à presença de dumps ou inserções hexadecimais incomuns no formato base64, após o que essas inserções foram decodificadas e examinadas.
Fonte: opennet.ru