科学探索|GitHub被曝托管了成千上万个包含恶意软件的PoC漏洞利用存储库
作为业内头部代码托管平台之一,莱顿高级计算机科学研究所的人员,刚刚曝光了数千个基于恶意软件的虚假概念验证(PoC)漏洞利用 。原本该平台旨在方便研究人员发布 PoC,以帮助安全社区验证漏洞修复、或确定漏洞的影响和范围 。但是最新研究发现,感染恶意软件(而不是获得 PoC)的概率,竟高达 10.3% —— 这还不包括经过验证的假冒 / 恶作剧软件 。
文章图片
【科学探索|GitHub被曝托管了成千上万个包含恶意软件的PoC漏洞利用存储库】数据分析方法(图自:Arxiv.org)
研究人员使用如下三套方案,分析了 47300 多个 2017 至 2021 年间披露的漏洞利用存储库:
● IP 地址分析:将 PoC 发布者的 IP 地址与公共阻止列表、以及 VT 和 AbuseIPDB 进行比较 。
● 二进制分析:对提供的可执行文件、及其哈希值执行 VirusTotal 检查 。
● 十六进制和 Base64 分析:在执行二进制和 IP 检查之前,解码混淆文件 。
文章图片
各个阻止列表中匹配的 IP 地址数
结果发现,在提取的 150734 个唯一 IP 地址中,有 2864 个与已知的黑名单相匹配 。
其中 1522 个被 VirusTotal 反病毒扫描中被标记为恶意,且有 1069 个被 AbuselPDB 数据库所收录 。
文章图片
年度恶意存储库数量
其次二进制分析检查了一组 6160 个可执行文件,并揭示了托管在 1398 个存储库中的总计 2164 个恶意样本 。
在 47313 个被测试的存储库中,有 4893 个被标记为恶意 —— 其中大多数与 2020 年以来的漏洞有关,且报告中包含了一小组隐含恶意软件(虚假 PoC)的存储库 。
另外研究人员向 BleepingComputer 分享了至少 60 个其它示例,这些恶意内容仍在存在、且正在被 GitHub 清除 。
文章图片
混淆脚本和去混淆 Houdini
通过仔细研究其中一些案例,研究人员发现了大量不同的恶意软件和有害脚本,比如远程访问木马和 Cobalt Strike。
以 CVE-2019-0708(又称 BlueKeep)概念验证为例,它包含了一个从 Pastebin 获取 VBScript 的 base64 混淆 Python 脚本 。
作为一款基于 JavaScript 的 Houdini RAT(远程访问木马),其能够通过 Windows 的命令提示符(CMD)执行远程命令 。
文章图片
虚假 PoC 渗透示例
另一虚假 PoC 案例,则涉及收集系统信息、IP 地址和用户代理的窃取器,之前有研究人员出于安全实验的目的而创建 —— 包括来自 Darktrace 的 El Yadmani Soufian 安全研究员 。
他非常友好地向 BleepingComputer 披露了这份技术报告中未包含的如下示例 —— 比如 PowerShell 概念验证中的 base64 编码二进制文件(被 Virus Total 标记为恶意软件) 。
文章图片
虚假 PowerShell PoC
某个 Python PoC 中包含了单行代码,解码后会被 Virus Total 识别为恶意的 base64 有效负载 。
某个伪造的 BlueKeep 漏洞利用,包含了一个被大多数反病毒引擎标记为恶意、并标识为 Cobalt Strike 的可执行文件 。
- 科学探索|科学家发现在“超级超新星”爆炸中死亡的第一代恒星的证据
- 科学探索|研究:南极洲的冰架融化速度可能比我们想象的还要快
- 科学探索|研究人员发现了细胞如何处理压力的奥秘
- 科学探索|科学家首次在复杂的纳米结构中发现独特性质
- 科学探索|研究发现雷暴期间植物的电火花可能会影响空气质量
- 科学探索|研究:低水位导致密西西比河货运变困难并使咸水向上游移动
- 科学探索|科学家揭示了人类大脑的基因
- 科学探索|新铝合金将航天器屏蔽辐射能力提高百倍
- 科学探索|研究发现新冠大流行轻微改变了美国人的人格轨迹
- 科学探索|研究:中年吃Omega-3脂肪酸或能提高思维能力并改善大脑结构