荷蘭萊頓大學的研究人員研究了在 GitHub 上發布虛擬漏洞利用原型的問題,其中包含惡意程式碼來攻擊試圖利用該漏洞測試漏洞的用戶。總共分析了 47313 個漏洞利用儲存庫,涵蓋 2017 年至 2021 年發現的已知漏洞。對漏洞利用的分析表明,其中 4893 個(10.3%)包含執行惡意操作的程式碼。建議決定使用已發布漏洞的使用者先檢查它們是否有可疑插入,並僅在與主系統隔離的虛擬機器中執行漏洞。
已確定惡意利用的兩大類:包含惡意程式碼的利用(例如,在系統中留下後門、下載特洛伊木馬或將電腦連接到殭屍網路)以及收集和發送有關用戶的機密資訊的利用。此外,還發現了一類單獨的無害的虛假漏洞利用程序,它們不會執行惡意操作,但也不包含預期的功能,例如,旨在誤導或警告運行來自網路的未經驗證的程式碼的用戶。
使用了多項檢查來識別惡意漏洞:
- 分析漏洞程式碼是否存在嵌入式公用 IP 位址,然後根據資料庫以及用於管理殭屍網路和分發惡意檔案的主機黑名單對識別的位址進行額外檢查。
- 以編譯形式提供的漏洞利用程式已在防毒軟體中進行了檢查。
- 該程式碼被識別為存在異常的十六進位轉儲或 Base64 格式的插入,然後對這些插入進行解碼和檢查。
來源: opennet.ru