Исследователи из Лейденского университета (Нидерланды) изучили вопрос размещения на GitHub фиктивных прототипов эксплоитов, содержащих вредоносный код для атаки на пользователей, попытавшихся использовать эксплоит для проверки наличия уязвимости. Всего было проанализировано 47313 репозиториев с эксплоитами, охватывающих известные уязвимости, выявленные с 2017 по 2021 год. Анализ эксплоитов показал, что в 4893 (10.3%) из них присутствует код, совершающий вредоносные действия. Пользователям, решившим воспользоваться публикуемыми эксплоитами, рекомендуется предварительно изучить их на предмет наличия подозрительных вставок и запускать эксплоиты только в изолированных от основной системы virtuálne stroje.
Boli identifikované dve hlavné kategórie škodlivých exploitov: exploity, ktoré obsahujú škodlivý kód, napríklad na ponechanie zadných vrátok v systéme, stiahnutie trójskeho koňa alebo pripojenie stroja k botnetu, a exploity, ktoré zhromažďujú a odosielajú dôverné informácie o používateľovi. . Okrem toho bola identifikovaná aj samostatná trieda neškodných falošných exploitov, ktoré nevykonávajú škodlivé akcie, ale tiež neobsahujú očakávanú funkčnosť, napríklad vytvorenú na zavádzanie alebo varovanie používateľov spúšťajúcich neoverený kód zo siete.
Na identifikáciu škodlivých zneužití sa použilo niekoľko kontrol:
- Zneužívaný kód bol analyzovaný na prítomnosť vložených verejných IP adresy, po ktorých boli identifikované adresy dodatočne skontrolované v databázach obsahujúcich čierne zoznamy hostiteľov používaných na kontrolu botnetov a distribúciu škodlivých súborov.
- Exploaty dodávané v kompilovanej forme boli skontrolované v antivírusovom softvéri.
- Kód bol identifikovaný na prítomnosť neobvyklých hexadecimálnych výpisov alebo vložení vo formáte base64, potom boli tieto vložky dekódované a preskúmané.
Zdroj: opennet.ru
