Main menu

Pages

Sicherheitsexperten, die von böswilligen CVE-PoC-Exploits auf GitHubSecurity Affairs angegriffen werden

Meta description

Forscher haben Tausende von GitHub-Repositories entdeckt, die gefälschte Proof-of-Concept (PoC)-Exploits für verschiedene Fehler anbieten, die zur Verbreitung von Malware verwendet werden.

Ein Forscherteam des Leiden Institute for Advanced Computing (Soufian El Yadmani, Robin The, Olga Gadyatskaya) entdeckte Tausende von Repositories auf GitHub, die gefälschte Proof-of-Concept (PoC)-Exploits für mehrere Schwachstellen anbieten.

Experten scannten PoCs, die auf GitHub geteilt wurden, auf bekannte Schwachstellen, die 2017–2021 entdeckt wurden. Einige dieser Repositories wurden von Angreifern zur Verbreitung von Malware verwendet.

Experten wiesen darauf hin, dass öffentliche Code-Repositorys keine Garantie dafür bieten, dass ein bestimmter PoC aus einer vertrauenswürdigen Quelle stammt.

„Wir haben festgestellt, dass nicht alle PoCs vertrauenswürdig sind. Einige Proofs of Concept sind gefälscht (d. h. sie bieten eigentlich keine PoC-Funktionalität) oder sogar böswillig: Sie versuchen beispielsweise, Daten von dem System zu exfiltrieren, auf dem sie ausgeführt werden, oder versuchen, Malware auf diesem System zu installieren. “ lautet das von den Experten veröffentlichte Forschungspapier.

Das Team konzentrierte sich auf eine Reihe von Symptomen, die im gesammelten Datensatz beobachtet wurden, wie z. B. Anrufe an böswillige IP-Adressen, die Codierung von bösartigem Code oder die Aufnahme von Binärdateien mit Trojanern. Boffins analysierte 47313 Repositories, von denen 4893 bösartige Repositories waren (d. h. 10,3 % der untersuchten Repositories zeigten Symptome böswilliger Absicht).

„Diese Zahl zeigt eine besorgniserregende Prävalenz gefährlicher bösartiger PoCs unter Exploit-Code, der auf GitHub verbreitet wird.“ fährt die Zeitung fort.

Schädliche Repositories GitHub nutzt PoC aus

Die Forscher analysierten insgesamt 358.277 IP-Adressen, davon waren 150.734 eindeutige IP-Adressen und 2.864 wurden auf die schwarze Liste gesetzt. 1.522 IP-Adressen wurden von Virus Total als bösartig eingestuft, und 1.069 davon wurden in der AbuseIPDB-Datenbank aufgeführt.

Von den 150.734 abgerufenen eindeutigen IP-Adressen stimmten 2.864 Blacklist-Einträge überein. 1522 wurden in AV-Scans auf Virus Total als bösartig erkannt, und 1069 waren in der AbuseIPDB-Datenbank vorhanden.

Die meisten böswilligen Erkennungen beziehen sich auf Schwachstellen von 2020.

Während ihrer Recherche fanden die Experten mehrere Beispiele für bösartige PoCs, die für CVEs entwickelt wurden, und teilten einige Fallstudien.

Eines der Beispiele bezieht sich auf einen für CVE-2019-0708 entwickelten PoC, auch bekannt als BlueKeep.

„Dieses Repository wurde von einem Benutzer namens Elkhazrajy erstellt. Der Quellcode enthält eine base64-Zeile, die nach der Dekodierung ausgeführt wird. Es enthält ein weiteres Python-Skript mit einem Link zu Pastebin28, das als VBScript gespeichert und dann vom ersten exec-Befehl ausgeführt wird. Nach der Untersuchung des VBScripts stellten wir fest, dass es die Houdini-Malware enthält. fährt die Zeitung fort.

Ein weiteres von Experten beschriebenes Beispiel bezieht sich auf einen böswilligen PoC, der entwickelt wurde, um Informationen über das Ziel zu sammeln. In diesem Fall war die für die Datenexfiltration verwendete Server-URL base64-codiert.

Die Experten erklärten, dass ihre Studie mehrere Einschränkungen aufwies. Beispielsweise wurde festgestellt, dass die GitHub-API unzuverlässig ist und nicht alle Repositories erfasst wurden, die mit den verwendeten CVE-IDs übereinstimmen.

Eine weitere Einschränkung betrifft die Verwendung von Heuristiken zur Erkennung bösartiger PoCs. Experten erklärten, dass der Ansatz einige bösartige PoCs in ihrem Datensatz übersehen könnte.

„Dieser Ansatz kann jedoch nicht jeden bösartigen PoC anhand des Quellcodes erkennen, da es immer möglich ist, kreativere Wege zu finden, ihn zu verschleiern. Wir haben die Codeähnlichkeit als Merkmal untersucht, um neue neue bösartige Repositories zu identifizieren. Unsere Ergebnisse zeigen, dass tatsächlich bösartige Repositories sind einander im Durchschnitt ähnlicher als nicht bösartige Repositories. Die Experten kommen zu dem Schluss: „Dieses Ergebnis ist der erste Schritt zur Entwicklung robusterer Erkennungstechniken.“

Die Forscher teilten ihre Ergebnisse mit GitHub und einige der bösartigen Repositories wurden noch nicht entfernt.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacking, bösartiges GitHub)





Blog In 2021 joker0o xyz

Commentaires