Cercetătorii de la Universitatea Leiden (Olanda) au investigat utilizarea prototipurilor de exploit-uri false pe GitHub, care conțineau cod malițios conceput pentru a ataca utilizatorii care au încercat să utilizeze exploit-ul pentru a testa o vulnerabilitate. Au fost analizate în total 47313 depozite de exploit-uri, acoperind vulnerabilități cunoscute identificate între 2017 și 2021. Analiza exploit-urilor a relevat că 4893 (10.3%) dintre acestea conțineau cod malițios. Utilizatorii care decid să utilizeze exploit-urile publicate sunt sfătuiți să le examineze mai întâi pentru inserții suspecte și să le ruleze doar în sisteme izolate. mașini virtuale.
Au fost identificate două categorii principale de exploatări rău intenționate: exploatații care conțin cod rău intenționat, de exemplu, pentru a lăsa o ușă de spate în sistem, pentru a descărca un troian sau pentru a conecta o mașină la o rețea botnet și exploatații care colectează și trimit informații confidențiale despre utilizator. . În plus, a fost identificată și o clasă separată de exploit-uri false inofensive care nu efectuează acțiuni rău intenționate, dar nici nu conțin funcționalitatea așteptată, de exemplu, creată pentru a induce în eroare sau a avertiza utilizatorii care rulează cod neverificat din rețea.
Au fost folosite mai multe verificări pentru a identifica exploatările rău intenționate:
- Codul exploit a fost analizat pentru prezența unor fișiere publice încorporate. adrese IP, după care adresele identificate au fost verificate suplimentar în bazele de date care conțineau liste negre de gazde utilizate pentru controlul botneturilor și distribuirea fișierelor rău intenționate.
- Exploit-urile furnizate în formă compilată au fost verificate în software antivirus.
- Codul a fost identificat pentru prezența unor depozite hexazecimale neobișnuite sau inserții în format base64, după care aceste inserții au fost decodificate și examinate.
Sursa: opennet.ru
