荷兰莱顿大学的研究人员研究了在 GitHub 上发布虚拟漏洞利用原型的问题,其中包含恶意代码来攻击试图利用该漏洞测试漏洞的用户。 总共分析了 47313 个漏洞利用存储库,涵盖 2017 年至 2021 年发现的已知漏洞。 对漏洞利用的分析表明,其中 4893 个(10.3%)包含执行恶意操作的代码。 建议决定使用已发布漏洞的用户首先检查它们是否存在可疑插入,并仅在与主系统隔离的虚拟机中运行漏洞。
已确定恶意利用的两大类:包含恶意代码的利用(例如,在系统中留下后门、下载特洛伊木马或将计算机连接到僵尸网络)以及收集和发送有关用户的机密信息的利用。 此外,还发现了一类单独的无害的虚假漏洞利用程序,它们不会执行恶意操作,但也不包含预期的功能,例如,旨在误导或警告运行来自网络的未经验证的代码的用户。
使用了多项检查来识别恶意漏洞:
- 分析漏洞代码是否存在嵌入式公共 IP 地址,然后根据数据库以及用于管理僵尸网络和分发恶意文件的主机黑名单对识别的地址进行额外检查。
- 以编译形式提供的漏洞利用程序已在防病毒软件中进行了检查。
- 该代码被识别为存在异常的十六进制转储或 Base64 格式的插入,然后对这些插入进行解码和检查。
来源: opennet.ru