莱顿高级计算机科学研究所的研究人员在 GitHub 上发现了数千个存储库,这些存储库提供针对各种漏洞的虚假概念验证 (PoC) 漏洞利用,其中一些漏洞POC代码包括恶意软件。
GitHub 是最大的代码托管平台之一,研究人员使用它来发布 PoC 漏洞利用,以帮助安全 区验证漏洞修复或确定漏洞的影响和范围。
根据莱顿高级计算机科学研究所研究人员的技术论文,感染恶意软件而不是获得 PoC 的可能性可能高达 10.3%,不包括经过验证的假冒和恶作剧软件。
研究人员使用以下三种机制分析了 47,300 多个存储库,用于宣传 2017 年至 2021 年间披露的漏洞利用:
IP 地址分析:将 PoC 的发布者 IP 与公共阻止列表以及 VT 和 AbuseIPDB 进行比较。
二进制分析:对提供的可执行文件及其哈希值运行 VirusTotal 检查。
十六进制和 Base64 分析:在执行二进制和 IP 检查之前解码混淆文件。
总共有 47,313 个被测试的存储库中有 4,893 个被认为是恶意的,其中大多数与 2020 年以来的漏洞有关。
通过仔细研究其中一些案例,研究人员发现了大量不同的恶意软件和有害脚本,从远程访问木马到 Cobalt Strike。
一个有趣的案例是 CVE-2019-0708 的 PoC,通常称为“BlueKeep”,它包含一个从 Pastebin 获取 VBScript 的 base64 混淆 Python 脚本。该脚本是 Houdini RAT,一种基于 JavaScript 的旧木马,支持通过 Windows CMD 执行远程命令。
在另一个案例中,研究人员发现了一个虚假的 PoC,它是一个收集系统信息、IP 地址和用户代理的信息窃取器。
建议软件测试人员仔细检查他们下载的 PoC,并在执行之前运行尽可能多的检查。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!