华人澳洲中文论坛

热图推荐

    GitHub被曝托管了不计其数个包孕歹意软件的PoC破绽利用存储库

    [复制链接]

    2022-10-25 09:07:10 19 0

    作为业内头部代码托管平台之一,莱顿初级计算机迷信钻研所的人员,刚刚暴光了数千个基于歹意软件的虚伪概念验证(PoC)破绽利用。本来该平台旨在便利钻研人员公布 PoC,以帮忙平安社区验证破绽修复、或肯定破绽的影响和规模。然而最新钻研发现,感染歹意软件(而不是获取 PoC)的几率,竟高达 10.3% —— 这还不包罗通过验证的冒充 / 恶作剧软件。



    数据剖析办法(图自:Arxiv.org)
    钻研人员使用如下三套计划,剖析了 47300 多个 2017 至 2021 年间披露的破绽利用存储库:
    ● IP 地址剖析:将 PoC 公布者的 IP 地址与公共禁止列表、以及 VT 和 AbuseIPDB 进行对比。 ● 二进制剖析:对提供的可履行文件、及其哈希值履行 VirusTotal 反省。 ● 十六进制和 Base64 剖析:在履行二进制和 IP 反省以前,解码混杂文件。


    各个禁止列表中婚配的 IP 地址数
    后果发现,在提取的 150734 个独一 IP 地址中,有 2864 个与已知的黑名单相婚配。
    其中 1522 个被 VirusTotal 反病毒扫描中被标志为歹意,且有 1069 个被 AbuselPDB 数据库所收录。



    年度歹意存储库数量
    其次二进制剖析反省了一组 6160 个可履行文件,并暴-露了托管在 1398 个存储库中的共计 2164 个歹意样本。
    在 47313 个被测试的存储库中,有 4893 个被标志为歹意 —— 其中大少数与 2020 年以来的破绽无关,且讲演中包孕了一小组隐含歹意软件(虚伪 PoC)的存储库。
    此外钻研人员向 BleepingComputer 分享了最少 60 个其它示例,这些歹意内容仍在存在、且正在被 GitHub 革除。



    混杂脚本和去混杂 Houdini
    经过子细钻研其中一些案例,钻研人员发现了少量不同的歹意软件和无害脚本,好比近程拜候木马和 Cobalt Strike 。
    以 CVE-2019-0708(又称 BlueKeep)概念验证为例,它包孕了一个从 Pastebin 获得 VBScript 的 base64 混杂 Python 脚本。
    作为一款基于 JavaScript 的 Houdini RAT(近程拜候木马),其可以经过 Windows 的命令提醒符(CMD)履行近程命令。



    虚伪 PoC 浸透示例
    另外一虚伪 PoC 案例,则波及采集零碎信息、IP 地址和用户代理的盗取器,以前有钻研人员出于平安试验的目的而创立 —— 包罗来自 Darktrace 的 El Yadmani Soufian 平安钻研员。
    他十分敌对地向 BleepingComputer 披露了这份技术讲演中未包孕的如下示例 —— 好比 PowerShell 概念验证中的 base64 编码二进制文件(被 Virus Total 标志为歹意软件)。



    虚伪 PowerShell PoC
    某个 Python PoC 中包孕了单行代码,解码后会被 Virus Total 辨认为歹意的 base64 无效负载。
    某个捏造的 BlueKeep 破绽利用,包孕了一个被大少数反病毒引擎标志为歹意、并标识为 Cobalt Strike 的可履行文件。



    冒充 PoC 的歹意复线无效载荷
    另外还有暗藏在冒充 PoC 中的脚本,即便暂未包孕非流动的歹意组件,但制造者能够随时为它赋与杀伤力。
    综上所述,大家显然不应自觉信赖未教训证来源的 GitHub 存储库,尤为是那些没有通过审核的内容。



    经过冒充 PoC 传布的 Cobalt Strike
    关于软件测试人员来讲,其下载的任何破绽利用概念验证名目,也都应该在履行前发展尽量深化的反省。
    若代码被混杂得颇为隐约、且需求很长期进行手动剖析,请优先斟酌将之放入被妥善隔离的虚构机沙箱中进行处置。



    有害但虚伪的 PoC
    最初,除了使用 VirusTotal 等开源情报工具对 PoC 二进制文件进行剖析,也请留意反省网络中是不是存在任何能够流量。
    毕竟就算平安钻研人员曾经向 GitHub 上报目前已知的歹意存储库,民间仍需一段时间来验证审查并删除。

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    返回列表 本版积分规则

    :
    中级会员
    :
    论坛短信
    :
    未填写
    :
    未填写
    :
    未填写

    主题33

    帖子44

    积分209

    图文推荐