A rosszindulatú kódok bevezetésének módja a régi módszerek átvételével és az áldozatok megtévesztésének javításával tovább fejlődik.
Úgy tűnik, hogy a a trójai faló ötlet még ma is nagyon hasznos és olyan finom módon, hogy sokunk észrevétlen marad, és nemrégiben a Leideni Egyetem (Hollandia) kutatói tanulmányozta a fiktív exploit prototípusok GitHubon való közzétételének problémáját.
Az az elképzelés, használja ezeket a kíváncsi felhasználók megtámadására akik szeretnének tesztelni és megtanulni, hogyan lehet kihasználni bizonyos sebezhetőségeket a felkínált eszközökkel, az ilyen helyzeteket ideálissá teszi a felhasználókat támadó rosszindulatú kódok bevezetésére.
Úgy tűnik, hogy a tanulmányban Összesen 47.313 XNUMX kihasználási adattárat elemeztek, lefedi a 2017 és 2021 között azonosított ismert sebezhetőségeket. A kihasználások elemzése kimutatta, hogy ezek közül 4893 (10,3%) tartalmaz rosszindulatú műveleteket végrehajtó kódot.
Ezért azoknak, akik úgy döntenek, hogy közzétett exploitokat használnak, azt tanácsoljuk, hogy először vizsgálják meg azokat gyanús beillesztéseket keres, és csak a fő rendszertől elkülönített virtuális gépeken futtasson exploitokat.
Az ismert sebezhetőségekre vonatkozó Proof of Concept (PoC) kizsákmányolások széles körben elterjedtek a biztonsági közösségben. Segítenek a biztonsági elemzőknek tanulni egymástól, és megkönnyítik a biztonsági értékeléseket és a hálózati csapatmunkát.
Az elmúlt néhány évben igen népszerűvé vált a PoC-ok terjesztése például webhelyeken és platformokon, valamint nyilvános kódtárakon, például a GitHubon keresztül. A nyilvános kódtárak azonban nem garantálják, hogy bármely adott PoC megbízható forrásból származik, vagy akár azt sem, hogy egyszerűen pontosan azt csinálja, amit tennie kell.
Ebben a cikkben megvizsgáljuk a GitHubon megosztott PoC-ket a 2017–2021 között felfedezett ismert sebezhetőségek miatt. Felfedeztük, hogy nem minden PoC megbízható.
A problémáról a rosszindulatú visszaélések két fő kategóriáját azonosították: Rosszindulatú kódot tartalmazó kizsákmányolások, például a rendszer hátsó kapujának bezárására, egy trójai program letöltésére vagy a gép botnethez való csatlakoztatására, valamint a felhasználóról érzékeny információkat gyűjtő és elküldő kizsákmányolások.
Ezen túlmenően, az ártalmatlan hamis kihasználások egy külön osztályát is azonosították amelyek nem hajtanak végre rosszindulatú műveleteket, de ezek sem tartalmazzák az elvárt funkcionalitást, például arra tervezték, hogy becsapja vagy figyelmeztesse azokat a felhasználókat, akik ellenőrizetlen kódot futtatnak a hálózatról.
Egyes elméleti bizonyítékok hamisak (azaz valójában nem kínálnak PoC-funkciót), vagy
akár rosszindulatúak is: például megpróbálnak adatokat kiszűrni abból a rendszerből, amelyen futnak, vagy rosszindulatú programokat próbálnak telepíteni arra a rendszerre.A probléma megoldása érdekében olyan megközelítést javasoltunk, amely kimutatja, hogy egy PoC rosszindulatú-e. Megközelítésünk azon alapul, hogy feltárjuk azokat a tüneteket, amelyeket az összegyűjtött adathalmazban észleltünk
például rosszindulatú IP-címek hívása, titkosított kód vagy trójai bináris fájlok.Ezzel a megközelítéssel 4893 rosszindulatú adattárat fedeztünk fel a 47313-ból
letöltött és ellenőrzött adattárak (azaz a vizsgált adattárak 10,3%-a tartalmaz rosszindulatú kódot). Ez az ábra a veszélyes rosszindulatú PoC-k aggasztó elterjedését mutatja a GitHubon terjesztett kihasználó kódok között.
Különféle ellenőrzéseket használtak a rosszindulatú visszaélések észlelésére:
- A kihasználó kódot elemezték vezetékes nyilvános IP-címek jelenlétére, majd az azonosított címeket tovább ellenőrizték a botnetek vezérlésére és rosszindulatú fájlok terjesztésére használt gazdagépek feketelistás adatbázisaival.
- A lefordított formában biztosított exploitokat vírusirtó szoftverrel ellenőriztük.
- Az atipikus hexadecimális kiíratok vagy beszúrások jelenlétét base64 formátumban észlelték a kódban, majd ezeket a beszúrásokat dekódolták és tanulmányozták.
Azoknak a felhasználóknak is ajánlott, akik szeretik a teszteket önállóan elvégezni, előtérbe helyezni az olyan forrásokat, mint az Exploit-DB, mivel ezek próbálják igazolni a PoC-k hatékonyságát és legitimitását. Éppen ellenkezőleg, az olyan platformokon, mint a GitHub, a nyilvános kód nem rendelkezik a kihasználási ellenőrzési folyamattal.
Végül ha érdekel, hogy többet tudjon meg róla, a vizsgálat részleteit a következő fájlban tekintheti meg, amelyből Ön Megosztom a linkjét.