Linux Adictos Darkcrizt  

Encontraron código malicioso dentro de xploits alojados en GitHub

trojan linux

La manera en como introducir código malicioso continua evolucionando tomando los antiguos métodos y mejorando la forma en como engañar a las victimas

Tal parece que la idea del caballo de Troya sigue siendo bastante útil hoy en día y de una formas tan sutiles que muchos podemos pasar desapercibidas y es que hace poco investigadores de la Universidad de Leiden (Países Bajos) estudiaron el problema de publicar prototipos de exploits ficticios en GitHub.

La idea de utilizar estos para poder atacar a los usuarios curiosos que desean probar y conocer la forma en la que se pueden explotar algunas vulnerabilidades con las herramientas ofrecidas, hace que este tipo de situaciones sean las ideales para introducir código malicioso para atacar a los usuarios.

Se informa que en el estudio se analizaron un total de 47.313 repositorios de exploits, que cubren vulnerabilidades conocidas identificadas desde 2017 hasta 2021. Un análisis de exploits mostró que 4893 (10,3%) de ellos contienen código que realiza acciones maliciosas.

Es por ello que se recomienda a los usuarios que decidan utilizar exploits publicados que primero los examinen en busca de inserciones sospechosas y ejecuten exploits solo en máquinas virtuales aisladas del sistema principal.

La prueba de concepto (PoC) de exploits para vulnerabilidades conocidas se comparte ampliamente en la comunidad de seguridad. Ellos ayudan a los analistas de seguridad a aprender unos de otros y facilitan evaluaciones de seguridad y tareas de red teaming.

Durante los ultimos años, se ha vuelto bastante popular distribuir los PoC por ejemplo, a través de sitios web y plataformas, y también a través de repositorios de códigos públicos como GitHub. Sin embargo, los repositorios de códigos públicos no proporcionan cualquier garantía de que cualquier PoC dado proviene de una fuente confiable o incluso que simplemente hace exactamente lo que se supone debe de hacer.

En este trabajo investigamos PoC compartidos en GitHub para vulnerabilidades conocidas descubiertas en 2017–2021. Descubrimos que no todos los PoC son confiables.

Sobre el problema se han identificado dos categorías principales de exploits maliciosos: exploits que contienen código malicioso, por ejemplo, para dejar una puerta trasera en el sistema, descargar un troyano o conectar una máquina a una botnet y exploits que recopilan y envían información confidencial sobre el usuario.

Además, también se identificó una clase separada de exploits falsos inofensivos que no realizan acciones maliciosas, pero tampoco contienen la funcionalidad esperada, por ejemplo, diseñados para engañar o advertir a los usuarios que ejecutan código no verificado desde la red.

Algunas pruebas de concepto son falsos (es decir, en realidad no ofrecen funcionalidad PoC), o
incluso maliciosos: por ejemplo, intentan exfiltrar datos del sistema en el que se están ejecutando, o intentan instalar malware en ese sistema.

Para abordar este problema, hemos propuesto un enfoque para detectar si un PoC es malicioso. Nuestro enfoque se basa en detectar los síntomas que hemos observado en el conjunto de datos recopilados, por
ejemplo, llamadas a direcciones IP maliciosas, codificado de código, o binarios troyanizados incluidos.

Con este enfoque, hemos descubierto 4893 repositorios maliciosos de 47313
repositorios que se han descargado y comprobado (es decir, el 10,3% de los repositorios estudiados presentan codigo malicioso). Esta cifra muestra una prevalencia preocupante de peligrosos PoC maliciosos entre el código de explotación distribuido en GitHub.

Se utilizaron varios controles para detectar exploits maliciosos:

  • El código de explotación se analizó para detectar la presencia de direcciones IP públicas cableadas, después de lo cual las direcciones identificadas se verificaron adicionalmente en bases de datos con listas negras de hosts utilizados para controlar botnets y distribuir archivos maliciosos.
  • Los exploits proporcionados en forma compilada se han comprobado con el software antivirus.
  • Se detectó en el código la presencia de volcados hexadecimales atípicos o inserciones en formato base64, tras lo cual dichas inserciones fueron decodificadas y estudiadas.

Tambien se recomienda para aquellos usuarios que gustan por realizar las pruebas por su propia cuenta, tomen en primer plano fuentes como Exploit-DB, ya que estas intentan validar la efectividad y la legitimidad de los PoC. Ya que, por el contrario, el código público en las plataformas como GitHub no tienen el proceso de verificación de exploits.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles del estudio en el siguiente archivo, del cual te comparto su enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.