格罗宁根高阶软件工程科学研究院的科学研究相关人员在GitHub上辨认出了数以百计存有问题的存储库,那些存储库为各种安全可靠漏洞提供更多不实的基本概念校正(PoC),并借以暗藏散播蓄意程序。
GitHub是最大的标识符代销网络平台之一,科学研究人员用它来正式发布PoC安全可靠漏洞,以协助安全可靠街道社区校正安全可靠漏洞的复原或确认一个安全可靠漏洞的影响和覆盖范围。
据格罗宁根高阶软件工程科学研究院的科学研究相关人员称,如果不包括被确认的变态应用软件,以不实PoC展开掩盖,事实上蓄意程序的几率高达10.3%。
数据搜集和预测
科学研究相关人员使用下列四种监督机制预测了47300数个军火库,包涵2017年至2021年前夕公布的安全可靠漏洞:
IP门牌号预测:将PoC的公用信息IP与公用封堵成员名单以及VT和AbuseIPDB展开比较。
十进制预测:对提供更多的DLL或其基元值运转VirusTotal检查和。
八进制和Base64预测:在继续执行十进制和IP检查和以后对混为一谈的文档展开音频。
在抽取的150734个独有的IP中,有2864个与封堵成员名单词条相适应,1522个在Virus Total的安全可靠软件扫描器中被检验为蓄意的,当中1069个存有于AbuseIPDB数据复本。十进制预测检查和了几组6160个DLL,辨认出共计2164个蓄意样品代销在1398个存储复本。
总体而言,在试验的47313个应用软件复本,有4893个应用软件库被认为是蓄意的,当中绝大部分牵涉到2020年的安全可靠漏洞。调查报告中包涵了少部分暗含不实PoC的应用软件库,那些应用软件库已经开始散播蓄意应用软件。科学研究人最少撷取了60个事例,不过那些范例依然是生存的,因此已经开始被GitHub查禁。
PoC中的蓄意程序
通过仔细科学研究当中一些事例,科学研究相关人员辨认出了大量不同的蓄意程序和有害脚本,从远程访问木马到Cobalt Strike。
本是Houdini RAT,一个基于JavaScript的老式木马,支持通过Windows CMD继续执行远程命令。
在另一个事例中,科学研究相关人员辨认出了一个假的PoC,这是一个搜集系统信息、IP门牌号和用户代理的信息窃取器。这是另一个科学研究相关人员以后创建的安全可靠实验,所以用自动工具找到它是对科学研究相关人员的确认,他们的方法是有效的。
还有一些没有在技术调查报告中体现的范例,例如:
PowerShell PoC包涵一个用base64编码的十进制文档,在Virus Total中被标记为蓄意的;
Python PoC包涵一个单行标识符,用于音频在Virus Total中被标记为蓄意的base64编码的有效载荷。
伪造的BlueKeep漏洞包涵一个被大多数安全可靠软件引擎标记为蓄意的DLL,并被识别为Cobalt Strike。一个暗藏在假PoC中的脚本,当中有不活跃的蓄意组件,但如果其作者愿意,依旧可以造成损害。
如何保持安全可靠
盲目相信GitHub上未经校正的仓库是不可取的,因为其内容没有经过审核,所以用户在使用前要对其展开审查。建议应用软件试验相关人员仔细检查和他们下载的PoC,并在继续执行以后尽可能多地展开检查和。
专家认为,所有试验相关人员都应该遵循这三个步骤。
仔细审查即将在网络上运转的标识符;
如果标识符太模糊,需要太多的时间来手动预测,就在一个环境中(例如一个隔离的虚拟机)展开沙盒试验,并检查和你的网络是否有可疑的流量;
使用开源的情报工具,如VirusTotal来预测十进制文档。
目前,科学研究相关人员已经将他们辨认出的所有蓄意程序库调查报告给GitHub,但在所有那些应用软件库被审查和删除以后,还需要一些时间,所以许多应用软件库依然对公众开放。
https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/
