Ερευνητές στο Leiden Institute of Advanced Computer Science βρήκαν χιλιάδες repositories στο GitHub που προσφέρουν ψεύτικα proof-of-concept (PoC) exploits για διάφορες ευπάθειες και περιλαμβάνουν malware.
Οι ερευνητές συνηθίζουν να χρησιμοποιούν το GitHub για να δημοσιεύουν PoC exploits και να βοηθούν την κοινότητα κυβερνοασφάλειας να επαληθεύσει διορθώσεις για ευπάθειες ή να προσδιορίσει τον αντίκτυπο και το εύρος μιας ευπάθειας.
Οι ερευνητές του Leiden Institute of Advanced Computer Science υποστηρίζουν ότι η πιθανότητα να μολυνθεί κάποιος με κακόβουλο λογισμικό αντί να αποκτήσει πραγματικά PoC exploits στο GitHub, θα μπορούσε να φτάσει το 10,3%, εξαιρουμένων των αποδεδειγμένων fakes και prankware.
Δείτε επίσης: Καταναλωτές: Τα οχήματα IoT πρέπει να προστατεύονται κατάλληλα από κυβερνοαπειλές
Οι ερευνητές ανέλυσαν περισσότερα από 47.300 repositories στο GitHub που διαφημίζουν ένα exploit για μια ευπάθεια που αποκαλύφθηκε μεταξύ 2017 και 2021. Για την ανάλυση χρησιμοποιήσαν τρεις μηχανισμούς:
- Ανάλυση διεύθυνσης IP: σύγκριση της IP του publisher του PoC με δημόσια blocklists και VT και AbuseIPDB.
- Ανάλυση Binary: πραγματοποίηση ελέγχων VirusTotal στα παρεχόμενα εκτελέσιμα και τα hashes τους.
- Hexadecimal και Base64 ανάλυση: αποκωδικοποίηση obfuscated αρχείων πριν την εκτέλεση των binary και IP ελέγχων.
Από τις 150.734 μοναδικές διευθύνσεις IP που εξήχθησαν, 2.864 αντιστοιχούσαν σε καταχωρήσεις των blocklists, 1.522 εντοπίστηκαν ως κακόβουλες σε σαρώσεις προστασίας από ιούς στο Virus Total και 1.069 από αυτές υπήρχαν στη βάση δεδομένων AbuseIPDB.
Η binary ανάλυση εξέτασε ένα σύνολο 6.160 εκτελέσιμων και αποκάλυψε συνολικά 2.164 κακόβουλα δείγματα που φιλοξενήθηκαν σε 1.398 GitHub repositories.
Δείτε επίσης: Κυκλοφόρησε νέα έκδοση του malware Ursnif – γνωστού ως Gozi
Σύμφωνα με τους ερευνητές, 4.893 repositories από τα 47.313 που εξετάστηκαν, κρίθηκαν κακόβουλα, με τα περισσότερα από αυτά να αφορούν ευπάθειες από το 2020.
Η αναφορά περιέχει ένα μικρό σύνολο repositories με πλαστά PoC που παρέδιδαν malware. Ωστόσο, οι ερευνητές μοιράστηκαν με το BleepingComputer τουλάχιστον 60 άλλα παραδείγματα που είναι ακόμα διαθέσιμα και βρίσκονται σε διαδικασία κατάργησης από το GitHub.
GitHub: Ψεύτικα PoC exploits με malware
Οι ερευνητές βρήκαν μια πληθώρα διαφορετικών malware και επιβλαβών scripts, που κυμαίνονται από trojan απομακρυσμένης πρόσβασης έως Cobalt Strike.
Μια ενδιαφέρουσα περίπτωση είναι αυτή ενός PoC για την ευπάθεια CVE-2019-0708, γνωστή και ως “BlueKeep”, που περιέχει ένα base64-obfuscated Python script που ανακτά ένα VBScript από το Pastebin. Το script είναι το Houdini RAT, ένα παλιό trojan βασισμένο σε JavaScript που υποστηρίζει την απομακρυσμένη εκτέλεση εντολών μέσω του CMD των Windows.
Επίσης, οι ερευνητές εντόπισαν μια άλλη περίπτωση, όπου ένα ψεύτικο PoC ήταν στην πραγματικότητα ένα malware κλοπής πληροφοριών.
Δείτε επίσης: OldGremlin: Χρησιμοποιεί Linux ransomware για να στοχεύσει ρώσικους οργανισμούς
Ένας από τους ερευνητές, ο El Yadmani Soufian, ο οποίος είναι επίσης ερευνητής ασφαλείας στη Darktrace, ανέφερε στο BleepingComputer και άλλα παραδείγματα malware μέσα σε ψεύτικα exploits στο GitHub, που δεν περιλαμβάνονται στην τεχνική έκθεση.
Για παράδειγμα:
- PowerShell PoC που περιέχει ένα binary κωδικοποιημένο σε base64 που έχει επισημανθεί ως κακόβουλο στο Virus Total.
- Python PoC που περιέχει ένα one-liner που αποκωδικοποιεί ένα base64-encoded payload που έχει επισημανθεί ως κακόβουλο στο Virus Total.
- Ψεύτικο BlueKeep exploit που περιέχει ένα εκτελέσιμο αρχείο που επισημαίνεται από τις περισσότερες μηχανές προστασίας από ιούς ως κακόβουλο.
Μέτρα προστασίας
Το GitHub είναι μια από τις πιο δημοφιλείς πλατφόρμες φιλοξενίας κώδικα, ωστόσο, δεν πρέπει να εμπιστευόμαστε απόλυτα ένα repository που βρίσκεται στην πλατφόρμα, ειδικά όταν προέρχεται από μια μη επαληθευμένη πηγή.
Οι Software testers πρέπει να ελέγχουν προσεκτικά τα PoC που κατεβάζουν και να εκτελούν όσο το δυνατόν περισσότερους ελέγχους προτού τα εκτελέσουν.
Ο ερευνητής Soufian προτείνει στους testers να κάνουν τα παρακάτω:
- Διαβάστε προσεκτικά τον κώδικα που πρόκειται να εκτελέσετε στο δίκτυο σας ή στο δίκτυο του πελάτη σας.
- Εάν ο κώδικας είναι πολύ obfuscated και χρειάζεται πολύς χρόνος για να αναλυθεί με μη αυτόματο τρόπο, τοποθετήστε τον σε sandbox (π.χ. απομονωμένη εικονική μηχανή) και ελέγξτε το δίκτυό σας για τυχόν ύποπτη κίνηση.
- Χρησιμοποιήστε open-source intelligence tools όπως το VirusTotal για να αναλύσετε binaries.
Όλα τα κακόβουλα repositories που ανακαλύφθηκαν στο GitHub, έχουν αναφερθεί, αλλά θα χρειαστεί λίγος χρόνος μέχρι να ελεγχθούν και να αφαιρεθούν όλα.
Πηγή: www.bleepingcomputer.com