Výskumníci z Leiden University v Holandsku skúmali problém zverejňovania falošných prototypov exploitov na GitHub, ktoré obsahujú škodlivý kód na útoky na používateľov, ktorí sa pokúsili využiť exploit na testovanie zraniteľnosti. Celkovo bolo analyzovaných 47313 2017 úložísk, ktoré pokryli známe zraniteľnosti identifikované v rokoch 2021 až 4893. Analýza exploitov ukázala, že 10.3 (XNUMX%) z nich obsahuje kód, ktorý vykonáva škodlivé akcie. Používateľom, ktorí sa rozhodnú použiť zverejnené exploity, sa odporúča, aby ich najprv preskúmali na prítomnosť podozrivých vložiek a spúšťali exploity iba na virtuálnych strojoch izolovaných od hlavného systému.
Boli identifikované dve hlavné kategórie škodlivých exploitov: exploity, ktoré obsahujú škodlivý kód, napríklad na ponechanie zadných vrátok v systéme, stiahnutie trójskeho koňa alebo pripojenie stroja k botnetu, a exploity, ktoré zhromažďujú a odosielajú dôverné informácie o používateľovi. . Okrem toho bola identifikovaná aj samostatná trieda neškodných falošných exploitov, ktoré nevykonávajú škodlivé akcie, ale tiež neobsahujú očakávanú funkčnosť, napríklad vytvorenú na zavádzanie alebo varovanie používateľov spúšťajúcich neoverený kód zo siete.
Na identifikáciu škodlivých zneužití sa použilo niekoľko kontrol:
- Exploatačný kód bol analyzovaný na prítomnosť vložených verejných IP adries, po čom boli identifikované adresy dodatočne skontrolované s databázami s čiernymi zoznamami hostiteľov používaných na správu botnetov a distribúciu škodlivých súborov.
- Exploaty dodávané v kompilovanej forme boli skontrolované v antivírusovom softvéri.
- Kód bol identifikovaný na prítomnosť neobvyklých hexadecimálnych výpisov alebo vložení vo formáte base64, potom boli tieto vložky dekódované a preskúmané.
Zdroj: opennet.ru