萊頓高級計算機科學研究所的研究人員近日在GitHub上發現了成千上萬個代碼庫提供針對多個漏洞的虛假概念證明(PoC)漏洞利用代碼(exploit),其中一些含有惡意軟件。

GitHub是全球最大的代碼托管平臺之一,眾多研究人員使用它發布PoC漏洞利用代碼,以幫助安全行業驗證漏洞修復程序,或者確定漏洞的影響和范圍。

據萊頓高級計算機科學研究所的研究人員撰寫的技術文章顯示,感染上惡意軟件而不是獲得PoC的可能性也許高達10.3%,這不包括已證實的虛假漏洞利用代碼和惡作劇軟件。

數據收集和分析

研究人員使用以下三種機制分析了47300多個代碼庫,這些代碼庫發布了針對2017年至2021年期間披露的一個漏洞的漏洞利用代碼:

IP地址分析:將PoC的發布者IP與公共黑名單、VT和AbuseIPDB進行比對。

二進制文件分析:對提供的可執行程序及其散列運行VirusTotal檢查。

十六進制文件和Base64分析:在執行二進制文件和IP檢查之前解碼經過混淆處理的文件。

圖1. 數據分析方法(來源:Arxiv.org)

在提取的150734個獨特IP中,有2864個IP與黑名單條目匹配,在Virus Total上的反病毒掃描中檢測到1522個IP是惡意IP,其中1069個IP存在于AbuseeIPDB數據庫中。

圖2. 各個黑名單上找到的IP地址(來源:Arxiv.org)

二進制文件分析檢查了一組6160個可執行程序,顯示總共2164個惡意樣本駐留在1398個代碼庫中。

在測試的47313個代碼庫中,共有4893個代碼庫被認為是惡意的,其中大多數涉及來自2020年的漏洞。

圖3. 每年的惡意代碼庫(來源:Arxiv.org)

這份報告中包含的一小組代碼庫含有分發惡意軟件的虛假PoC。然而,研究人員向BleepingComputer表明了至少另外60個代碼庫依然存在,目前正在被GitHub撤下的過程中。

PoC中的惡意軟件

通過進一步研究其中一些代碼庫,研究人員發現了大量不同的惡意軟件和有害腳本,從遠程訪問木馬到Cobalt Strike,不一而足。

一個值得關注的例子是CVE-2019-0708(通常名為“BlueKeep”)的PoC,它含有一個用base64模糊處理的Python腳本,該腳本可以從Pastebin獲取VBScript。

該腳本其實是Houdini RAT,這個基于JavaScript的舊木馬支持通過Windows CMD遠程執行命令。

圖4. 模糊處理的腳本和去模糊處理的Houdini

在另一種情況下,研究人員發現了一個虛假的PoC,這其實是信息竊取工具,收集系統信息、IP地址和用戶代理。

這是另一名研究人員之前進行的一個安全實驗,所以研究人員用自動化工具發現它,以確認他們的方法是有效的。

圖5. 虛假PoC泄密示例(來源:Arxiv.org)

其中一名研究人員El Yadmani Soufian還是Darktrac的安全研究人員,他好心地為BleepingComputer提供了技術報告中未包含的其他示例,如下所示:

含有用base64編碼的二進制代碼的PowerShell PoC在Virus Total中被標記為是惡意的。

圖6. 虛假PowerShell PoC

Python PoC含有一行代碼,用于解碼用base64編碼的攻擊載荷,該攻擊載荷在Virus Total上被標記為是惡意的。

圖7. 惡意的一行代碼攻擊載荷冒充PoC

虛假的BlueKeep漏洞利用代碼含有一個可執行程序,該程序被大多數反病毒引擎標記為是惡意的,并被識別為是Cobalt Strike。

圖8. Cobalt Strike通過虛假PoC來投放

圖9. 無害但虛假的PoC

如何保持安全?

盲目信任GitHub上來源未經驗證的代碼庫是個壞主意,因為內容沒有經過審核,所以用戶在使用之前需要審核它。

建議軟件測試人員仔細檢查他們下載的PoC,并在執行它們之前運行盡可能多的檢查。

Soufian認為,所有測試人員都應該遵循以下三個步驟:

1. 仔細閱讀將要在貴公司的網絡或客戶的網絡上運行的代碼。

2. 如果代碼太過模糊,需要大量的時間來手動分析,不妨將它放在沙盒環境(比如隔離的虛擬機)中,檢查網絡中的任何可疑流量。

3. 使用像VirusTotal這樣的開源情報工具來分析二進制文件。

研究人員已經向GitHub報告了他們發現的所有惡意代碼庫,但需要一段時間才能審查和刪除所有惡意代碼庫,因此仍有許多惡意代碼庫對公眾開放。

正如Soufian所解釋,他們的研究目的不僅僅是作為GitHub上的一次性清理行動,而是以此為契機,開發一種自動解決方案,可以用來標記上傳代碼中的惡意指令。

這是該團隊研究的第一個版本,他們正在努力改進其探測工具。目前,這款檢測工具遺漏了迷惑性較強的代碼。

二進制 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接