Forskare från Leiden University i Nederländerna undersökte frågan om att lägga ut prototyper för dummy exploit på GitHub, innehållande skadlig kod för att attackera användare som försökte använda utnyttjandet för att testa en sårbarhet. Totalt 47313 2017 exploateringslager analyserades, som täcker kända sårbarheter som identifierats från 2021 till 4893. Analyser av utnyttjande visade att 10.3 (XNUMX%) av dem innehåller kod som utför skadliga åtgärder. Användare som bestämmer sig för att använda publicerade exploateringar rekommenderas att först undersöka dem för att se om det finns misstänkta infogningar och köra exploateringar endast i virtuella maskiner isolerade från huvudsystemet.
Två huvudkategorier av skadlig exploatering har identifierats: exploateringar som innehåller skadlig kod, till exempel för att lämna en bakdörr i systemet, ladda ner en trojan eller ansluta en maskin till ett botnät, och exploateringar som samlar in och skickar konfidentiell information om användaren . Dessutom har en separat klass av ofarliga falska utnyttjanden också identifierats som inte utför skadliga åtgärder, men som inte heller innehåller den förväntade funktionaliteten, till exempel skapad för att vilseleda eller för att varna användare som kör overifierad kod från nätverket.
Flera kontroller användes för att identifiera skadliga utnyttjande:
- Exploateringskoden analyserades med avseende på förekomsten av inbäddade offentliga IP-adresser, varefter de identifierade adresserna dessutom kontrollerades mot databaser med svarta listor över värdar som används för att hantera botnät och distribuera skadliga filer.
- Exploaterna som tillhandahålls i kompilerad form kontrollerades i antivirusprogram.
- Koden identifierades för förekomsten av ovanliga hexadecimala dumpar eller infogningar i base64-format, varefter dessa inlägg avkodades och undersöktes.
Källa: opennet.ru