莱顿高级计算机科学研究所的研究人员在 GitHub 上发现了数千个存储库,这些存储库提供针对各种漏洞的虚假概念验证 (PoC) 漏洞利用,其中一些漏洞包括恶意软件。
GitHub 是最大的代码托管平台之一,研究人员使用它来发布 PoC 漏洞利用,以帮助安全社区验证漏洞修复或确定漏洞的影响和范围。
根据莱顿高级计算机科学研究所研究人员的技术论文 ,感染恶意软件而不是获得 PoC 的可能性可能高达 10.3%,不包括经过验证的假冒和恶作剧软件。
数据收集和分析
研究人员使用以下三种机制分析了 47,300 多个存储库,用于宣传 2017 年至 2021 年间披露的漏洞利用:
- IP 地址分析:将 PoC 的发布者 IP 与公共阻止列表以及 VT 和 AbuseIPDB 进行比较。
- 二进制分析:对提供的可执行文件及其哈希值运行 VirusTotal 检查。
- 十六进制和 Base64 分析:在执行二进制和 IP 检查之前解码混淆文件。
在提取的 150,734 个唯一 IP 中,有 2,864 个匹配的阻止列表条目,1,522 个在 Virus Total 的防病毒扫描中被检测为恶意,其中 1,069 个存在于 AbuseIPDB 数据库中。
二进制分析检查了一组 6,160 个可执行文件,并揭示了托管在 1,398 个存储库中的总共 2,164 个恶意样本。
总共有 47,313 个被测试的存储库中有 4,893 个被认为是恶意的,其中大多数与 2020 年以来的漏洞有关。
该报告包含一小组存储库,其中包含传递恶意软件的虚假 PoC。然而,研究人员与 news.zzqidc.com分享了至少 60 个其他示例,这些示例仍然存在并且正在被 GitHub 删除。
PoC 中的恶意软件
通过仔细研究其中一些案例,研究人员发现了大量不同的恶意软件和有害脚本,从远程访问木马到 Cobalt Strike。
一个有趣的案例是 CVE-2019-0708 的 PoC,通常称为“BlueKeep”,它包含一个从 Pastebin 获取 VBScript 的 base64 混淆 Python 脚本。
该脚本是 Houdini RAT,一种基于 JavaScript 的旧木马,支持通过 Windows CMD 执行远程命令。
在另一个案例中,研究人员发现了一个虚假的 PoC,它是一个收集系统信息、IP 地址和用户代理的信息窃取器。
这是之前由另一位研究人员作为安全实验创建的,因此使用自动化工具找到它是对研究人员的确认,他们的方法有效。
其中一位研究人员 El Yadmani Soufian 也是 Darktrace 的安全研究员,他非常友好地向news.zzqidc.com提供了技术报告中未包含的其他示例,如下所示:
PowerShell PoC 包含以 base64 编码的二进制文件,在 Virus Total 中标记为恶意。
Python PoC 包含一个单行代码,可解码在 Virus Total 上标记为恶意的 base64 编码有效负载。
伪造的 BlueKeep 漏洞利用包含一个被大多数防病毒引擎标记为恶意并标识为 Cobalt Strike 的可执行文件。
隐藏在虚假 PoC 中的脚本,带有不活动的恶意组件,如果其作者愿意,可能会造成损害。
如何保持安全
盲目地信任来自未经验证的来源的 GitHub 上的存储库将是一个坏主意,因为内容没有经过审核,因此用户需要在使用之前对其进行审查。
建议软件测试人员仔细检查他们下载的 PoC,并在执行之前运行尽可能多的检查。
Soufian 认为所有测试人员都应该遵循以下三个步骤:
- 仔细阅读您将要在您或您客户的网络上运行的代码。
- 如果代码过于模糊并且需要太多时间进行手动分析,请将其放入环境中(例如:隔离的虚拟机)进行沙箱处理,并检查您的网络是否存在任何可疑流量。
- 使用 VirusTotal 等开源情报工具分析二进制文件。
研究人员已向 GitHub 报告了他们发现的所有恶意存储库,但需要一些时间才能对所有这些存储库进行审查和删除,因此仍有许多可供公众使用。
正如 Soufian 解释的那样,他们的研究不仅旨在作为 GitHub 上的一次性清理操作,而且还作为开发自动化解决方案的触发器,该解决方案可用于标记上传代码中的恶意指令。
这是该团队研究的第一个版本,他们正在努力改进他们的探测器。目前,检测工具漏掉了混淆性更强的代码。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 数千个GitHub存储库使用恶意软件提供虚假PoC漏洞利用
