Дослідники з Лейденського університету (Нідерланди) вивчили питання розміщення на GitHub фіктивних прототипів експлоїтів, що містять шкідливий код для атаки на користувачів, які спробували використовувати експлоїт для перевірки вразливості. Всього було проаналізовано 47313 2017 репозиторіїв з експлоїтами, що охоплюють відомі вразливості, виявлені з 2021 по 4893 рік. Аналіз експлоїтів показав, що в 10.3 (XNUMX%) з них є код, що здійснює шкідливі дії. Користувачам, які вирішили скористатися експлоїтами, що публікуються, рекомендується попередньо вивчити їх на предмет наявності підозрілих вставок і запускати експлоїти тільки в ізольованих від основної системи віртуальних машинах.
Виявлено дві основні категорії шкідливих експлоїтів - експлоїти, що містять шкідливий код, наприклад, для залишення в системі бекдора, завантаження трояна або підключення машини до ботнету, та експлоїти, що збирають та відправляють конфіденційну інформацію про користувача. Крім того, також виявлено окремий клас нешкідливих фіктивних експлоїтів, які не виконують шкідливих дій, але й не містять очікуваної функціональності, наприклад, створені для введення в оману або для того, щоб застерегти користувачів, які запускають неперевірений код мережі.
Для виявлення шкідливих експлоїтів використовувалось кілька перевірок:
- Код експлоїтів аналізувався на наявність вшитих публічних IP-адрес, після чого виявлені адреси додатково перевірялися за базами з чорними списками хостів, які використовуються для керування ботнетами та поширення шкідливих файлів.
- Експлоїти, що поставляються в скомпільованій формі, перевірялися в антивірусному ПЗ.
- У коді виявлялося наявність нетипових шістнадцяткових дампів або вставок у форматі base64, після чого ці вставки декодувалися і вивчалися.
Джерело: opennet.ru