Raziskovalci z univerze Leiden na Nizozemskem so preučili vprašanje objavljanja navideznih prototipov izkoriščanja na GitHub, ki vsebujejo zlonamerno kodo za napad na uporabnike, ki so poskušali uporabiti izkoriščanje za testiranje ranljivosti. Skupaj je bilo analiziranih 47313 skladišč izkoriščanja, ki zajemajo znane ranljivosti, ugotovljene od leta 2017 do 2021. Analiza podvigov je pokazala, da jih 4893 (10.3 %) vsebuje kodo, ki izvaja zlonamerna dejanja. Uporabnikom, ki se odločijo za uporabo objavljenih izkoriščanj, priporočamo, da jih najprej pregledajo glede prisotnosti sumljivih vstavkov in izvajajo izkoriščanja samo v virtualnih strojih, izoliranih od glavnega sistema.
Ugotovljeni sta bili dve glavni kategoriji zlonamernih izkoriščanj: izkoriščanja, ki vsebujejo zlonamerno kodo, na primer za puščanje stranskih vrat v sistemu, prenos trojanca ali povezovanje stroja z botnetom, in izkoriščanja, ki zbirajo in pošiljajo zaupne podatke o uporabniku. . Poleg tega je bil ugotovljen tudi ločen razred neškodljivih lažnih izkoriščanj, ki ne izvajajo zlonamernih dejanj, vendar tudi ne vsebujejo pričakovane funkcionalnosti, na primer ustvarjene za zavajanje ali opozarjanje uporabnikov, ki izvajajo nepreverjeno kodo iz omrežja.
Za prepoznavanje zlonamernih izkoriščanj je bilo uporabljenih več pregledov:
- Koda izkoriščanja je bila analizirana glede prisotnosti vgrajenih javnih naslovov IP, nato pa so bili identificirani naslovi dodatno preverjeni v bazah podatkov s črnimi seznami gostiteljev, ki se uporabljajo za upravljanje botnetov in distribucijo zlonamernih datotek.
- Izkoriščanja, dobavljena v prevedeni obliki, so bila preverjena v protivirusni programski opremi.
- Koda je bila identificirana zaradi prisotnosti nenavadnih šestnajstiških izpisov ali vstavljanj v formatu base64, nakar so bili ti vstavki dekodirani in pregledani.
Vir: opennet.ru