ProHoster > Blog > internet yangiliklari > GitHub’da e’lon qilingan ekspluatatsiyalarda zararli kod mavjudligi tahlili

GitHub’da e’lon qilingan ekspluatatsiyalarda zararli kod mavjudligi tahlili

Niderlandiyaning Leyden universiteti tadqiqotchilari GitHub’da zaiflikni tekshirish uchun ekspluatatsiyadan foydalanmoqchi bo‘lgan foydalanuvchilarga hujum qilish uchun zararli kodni o‘z ichiga olgan soxta ekspluatatsiya prototiplarini joylashtirish masalasini o‘rganib chiqdi. 47313 yildan 2017 yilgacha aniqlangan ma'lum zaifliklarni qamrab olgan jami 2021 4893 ta ekspluatatsiya ombori tahlil qilindi. Ekspluatatsiyalar tahlili shuni ko'rsatdiki, ularning 10.3 tasi (XNUMX%) zararli harakatlarni amalga oshiradigan kodni o'z ichiga oladi. Nashr etilgan ekspluatatsiyalardan foydalanishga qaror qilgan foydalanuvchilarga avval ularni shubhali qo'shimchalar mavjudligini tekshirish va ekspluatatsiyalarni faqat asosiy tizimdan ajratilgan virtual mashinalarda ishga tushirish tavsiya etiladi.

Zararli ekspluatatsiyalarning ikkita asosiy toifasi aniqlangan: zararli kodni o'z ichiga olgan ekspluatatsiyalar, masalan, tizimda orqa eshikni qoldirish, troyanni yuklab olish yoki mashinani botnetga ulash va foydalanuvchi haqidagi maxfiy ma'lumotlarni yig'ish va jo'natish uchun ekspluatatsiyalar. . Bundan tashqari, zararsiz soxta ekspluatatsiyalarning alohida klassi ham aniqlangan, ular zararli harakatlarni amalga oshirmaydi, lekin kutilgan funksiyalarni ham o'z ichiga olmaydi, masalan, tarmoqdan tekshirilmagan kodni ishlatayotgan foydalanuvchilarni chalg'itish yoki ogohlantirish uchun yaratilgan.

Zararli ekspluatatsiyalarni aniqlash uchun bir nechta tekshiruvlardan foydalanilgan:

  • Ekspluatatsiya kodi o'rnatilgan umumiy IP manzillar mavjudligi uchun tahlil qilindi, shundan so'ng aniqlangan manzillar botnetlarni boshqarish va zararli fayllarni tarqatish uchun foydalaniladigan xostlarning qora ro'yxati bilan ma'lumotlar bazalari bilan qo'shimcha ravishda tekshirildi.
  • Kompilyatsiya qilingan shaklda taqdim etilgan ekspluatatsiyalar antivirus dasturlarida tekshirildi.
  • Kod base64 formatidagi g'ayrioddiy o'n oltilik dumplar yoki qo'shimchalar mavjudligi uchun aniqlangan, shundan so'ng bu qo'shimchalar dekodlangan va tekshirilgan.

GitHub’da e’lon qilingan ekspluatatsiyalarda zararli kod mavjudligi tahlili


Manba: opennet.ru

a Izoh qo'shish