The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ наличия вредоносного кода в эксплоитах, опубликованных на GitHub

24.10.2022 09:16

Исследователи из Лейденского университета (Нидерланды) изучили вопрос размещения на GitHub фиктивных прототипов эксплоитов, содержащих вредоносный код для атаки на пользователей, попытавшихся использовать эксплоит для проверки наличия уязвимости. Всего было проанализировано 47313 репозиториев с эксплоитами, охватывающих известные уязвимости, выявленные с 2017 по 2021 год. Анализ эксплоитов показал, что в 4893 (10.3%) из них присутствует код, совершающий вредоносные действия. Пользователям, решившим воспользоваться публикуемыми эксплоитами, рекомендуется предварительно изучить их на предмет наличия подозрительных вставок и запускать эксплоиты только в изолированных от основной системы виртуальных машинах.

Выявлено две основные категории вредоносных эксплоитов - эксплоиты, содержащие вредоносный код, например, для оставления в системе бэкдора, загрузки трояна или подключения машины к ботнету, и эксплоиты собирающие и отправляющие конфиденциальную информацию о пользователе. Кроме того, также выявлен отдельный класс безобидных фиктивных эксплоитов, которые не выполняют вредоносных действий, но и не содержат ожидаемой функциональности, например, созданы для введения в заблуждение или для того чтобы предостеречь пользователей, запускающих непроверенный код из сети.

Для выявления вредоносных эксплоитов использовалось несколько проверок:

  • Код эксплоитов анализировался на наличие вшитых публичных IP-адресов, после чего выявленные адреса дополнительно проверялись по базам с чёрными списками хостов, используемых для управления ботнетами и распространения вредоносных файлов.
  • Поставляемые в скомпилированной форме эксплоиты проверялись в антивирусном ПО.
  • В коде выявлялось наличие нетипичных шестнадцатеричных дампов или вставок в формате base64, после чего эти вставки декодировались и изучались.


  1. Главная ссылка к новости (https://arxiv.org/abs/2210.083...)
  2. OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome
  3. OpenNews: Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange
  4. OpenNews: Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей
  5. OpenNews: Эксплоит для проверки систем на root-уязвимость в Linux-ядре оказался трояном
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57965-exploit
Ключевые слова: exploit, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, nebularia (ok), 09:37, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А местные с такой радостью запускают их на своих системах и пишут в комментах про результаты XD
     
     
  • 2.14, Аноним (14), 11:16, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да эти местные и всякие ЛиберВульфы от Васянов ставят, и телеграм безопасным считают. Это норма (с)
     
     
  • 3.16, Аноним (16), 11:48, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не всегда есть выбор. Например, Телеграм может заставить установить вышестоящая [государственная] организация.
     
  • 3.26, Аноним (26), 15:56, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А чем тебе Либревульф не угодил? Кстати, патчей там не особо много, можешь почитать.
    Или ты боишься что мачылла телеметрии не дополучит, и это будет несекурно для неё?
     
  • 2.19, Igraine (ok), 11:50, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, даже самые орденоносные опеннет эксперты не станут запускать чужой код не глядя.
     

  • 1.2, Lex20 (ok), 09:53, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну теперь будут aes со случайным ключом шифровать. Для чего эта имитация бурной деятельности?
     
     
  • 2.4, ыы (?), 10:04, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ..и так и оставлять... :)

    в какойто же момент код эксплоита должен будет рашифровывать себя... или полагаете на них будет навешиваться коммерческая защита от анализа?

     
     
  • 3.23, Аноним (23), 12:46, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Расшифрует себя с помощью техномагических приёмов :)
     
  • 3.29, Lex20 (ok), 18:26, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так пускай расшифровывает во время выполнения. Ключ шифрования случайный, просто строчка, код тоже строчка, но зашифрованая. Это поведение куда сложнее определить чем какой-то base64
     

  • 1.3, Аноним (3), 09:57, 24/10/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +4 +/
     

     ....ответы скрыты (3)

  • 1.5, Аноним (5), 10:04, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Запускать одну виртуалку небезопасно!
    Нужно виртуалку в виртуалке, в виртуалке, в виртуалке...
     
     
  • 2.9, Аноним (9), 10:46, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если ты у тебя эксплоит на виртуалки это не поможет. Нужен отдельный тестировочный стенд.
     
     
  • 3.15, name (??), 11:45, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Я еще всегда в отдельный город уезжаю на всякий случай.
     
     
  • 4.17, Аноним (17), 11:49, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя все равно найдет, надо валить в безопасную страну.
     
     
  • 5.20, Аноним (20), 11:56, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше на безопасную планеты
     
     
  • 6.30, Lex20 (ok), 18:28, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Возьмите меня попутчиком
     
  • 3.24, Аноним (23), 12:50, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Виртуалки разных версий или ещё лучше разных типов.
     
     
  • 4.28, name (??), 17:24, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А цветов?
     
     
  • 5.33, Кира (ok), 11:46, 25/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Главное, чтобы обои разные были. =)
     

  • 1.6, Аноним (-), 10:19, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надо сравнить с неэсклоитами. Иначе непонятно, в этом отношении код эксплоитов чем-то от других программ на гитхабе отличается?  
     
  • 1.7, InuYasha (??), 10:40, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мораль в том, что в эксплоитах бывают трояны? Ну, ок. Знали, знаем, будем знать.
     
  • 1.8, КО (?), 10:44, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "прототипов эксплоитов"
    "использовать эксплоит для проверки наличия уязвимости"
    И вы всё ещё удивляетесь зачем покупают всякие колонки для прослушки.
     
     
  • 2.10, Аноним (9), 10:47, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удивляются те кто этим пользуются.
     

  • 1.12, Аноним (-), 11:01, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А они проприетарные?
     
     
  • 2.18, Аноним (17), 11:50, 24/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    нет.
     

  • 1.31, Аноним (31), 19:51, 24/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Верхушка айсберга.
     
     
  • 2.32, Анон. (?), 04:28, 25/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что же на дне ?
     
     
  • 3.34, Аноним (34), 10:52, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    npm
     
  • 3.35, Аноним (35), 08:16, 30/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Что же на дне ?

    Сам гитхаб.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру