Leiden İleri Bilgisayar Bilimi Enstitüsü’ndeki araştırmacılar, GitHub’da, bazıları kötü amaçlı yazılım da dahil olmak üzere çeşitli güvenlik açıkları için sahte kavram kanıtı (PoC) açıkları sunan binlerce depo buldu.
GitHub, en büyük kod barındırma platformlarından biridir ve araştırmacılar, güvenlik topluluğunun güvenlik açıklarına yönelik düzeltmeleri doğrulamasına veya bir kusurun etkisini ve kapsamını belirlemesine yardımcı olmak için PoC açıklarını yayınlamak için kullanır.
Leiden İleri Bilgisayar Bilimleri Enstitüsü’ndeki araştırmacıların teknik makalesine göre, bir PoC almak yerine kötü amaçlı yazılım bulaşma olasılığı, kanıtlanmış sahte ve şaka yazılımları hariç, %10,3 kadar yüksek olabilir.
verilerin toplanması ve analizi
Araştırmacılar, aşağıdaki üç mekanizmayı kullanarak 2017 ve 2021 arasında açıklanan bir güvenlik açığı için bir istismarın reklamını yapan 47.300’den biraz fazla depoyu analiz etti:
- IP adresi analizi: PoC’nin yayıncı IP’sini herkese açık engelleme listeleri ve VT ve AbuseIPDB ile karşılaştırma.
- ikili analiz: sağlanan yürütülebilir dosyalar ve bunların karmaları üzerinde VirusTotal kontrollerini çalıştırın.
- Onaltılık ve Base64 analizi: ikili ve IP kontrollerini gerçekleştirmeden önce karmaşık dosyaların kodunu çözün.
Ayıklanan 150.734 benzersiz IP’den 2.864 eşleşen blok listesi girişinden 1.522’si Virus Total’deki antivirüs taramalarında kötü amaçlı olarak algılandı ve bunların 1.069’u AbuseIPDB veritabanında mevcuttu.
İkili analiz, 6.160 yürütülebilir dosyayı inceledi ve 1.398 depoda barındırılan toplam 2.164 kötü amaçlı örnek ortaya çıkardı.
Toplamda, test edilen 47.313 depodan 4.893’ü kötü niyetli olarak kabul edildi ve bunların çoğu 2020’deki güvenlik açıklarıyla ilgiliydi.
Rapor, kötü amaçlı yazılım dağıtan sahte PoC’lere sahip küçük bir depo grubu içeriyor. Ancak araştırmacılar, BleepingComputer ile hala canlı ve GitHub tarafından kaldırılma sürecinde olan en az 60 başka örneği paylaştı.
PoC’deki kötü amaçlı yazılım
Bu vakalardan bazılarını daha yakından inceleyen araştırmacılar, uzaktan erişim truva atlarından Cobalt Strike’a kadar çok sayıda farklı kötü amaçlı yazılım ve zararlı komut dosyası buldular.
İlginç bir örnek, Pastebin’den bir VBScript alan bir base64-gizli Python betiği içeren, yaygın olarak “BlueKeep” olarak bilinen CVE-2019-0708 için bir PoC’dir.
Komut dosyası, Windows CMD aracılığıyla uzaktan komut yürütmeyi destekleyen JavaScript tabanlı eski bir truva atı olan Houdini RAT’dir.
Başka bir durumda, araştırmacılar sistem bilgilerini, IP adresini ve kullanıcı aracısını toplayan bir bilgi hırsızı olan sahte bir PoC tespit ettiler.
Bu, daha önce bir güvenlik deneyi olarak oluşturuldu. başka bir araştırmacıbu yüzden onu otomatik araçla bulmak, araştırmacılar için yaklaşımlarının işe yaradığının bir teyidiydi.
Araştırmacılardan biri, aynı zamanda Darktrace’de güvenlik araştırmacısı olan El Yadmani Soufian, BleepingComputer’a teknik raporda yer almayan ve aşağıda verilen ek örnekleri sağlama nezaketini gösterdi:
Virüs Toplamında kötü amaçlı olarak işaretlenen base64’te kodlanmış bir ikili dosya içeren PowerShell PoC.
Virüs Total’de kötü amaçlı olarak işaretlenen base64 kodlu bir yükün kodunu çözen bir astar içeren Python PoC.
Çoğu antivirüs motoru tarafından kötü amaçlı olarak işaretlenen ve Cobalt Strike olarak tanımlanan bir yürütülebilir dosya içeren sahte BlueKeep açıklarından yararlanma.
Yazarı isterse hasara neden olabilecek, etkin olmayan kötü amaçlı bileşenlerle sahte PoC içinde saklanan bir komut dosyası.
nasıl güvende kalınır
GitHub’da doğrulanmamış bir kaynaktan gelen bir depoya körü körüne güvenmek, içerik denetlenmediğinden kötü bir fikir olacaktır, bu nedenle kullanmadan önce incelemesi kullanıcılara düşer.
Yazılım testçilerine, indirdikleri PoC’leri dikkatlice incelemeleri ve çalıştırmadan önce mümkün olduğunca çok kontrol yapmaları tavsiye edilir.
Soufian, tüm test kullanıcılarının şu üç adımı izlemesi gerektiğine inanıyor:
- Sizin veya müşterinizin ağında çalıştırmak üzere olduğunuz kodu dikkatlice okuyun.
- Kod çok karışıksa ve manuel olarak analiz etmek için çok fazla zamana ihtiyaç duyuyorsa, onu bir ortamda (ör. yalıtılmış bir Sanal Makine) sandbox’a alın ve ağınızda herhangi bir şüpheli trafik olup olmadığını kontrol edin.
- İkili dosyaları analiz etmek için VirusTotal gibi açık kaynaklı istihbarat araçlarını kullanın.
Araştırmacılar, keşfettikleri tüm kötü amaçlı depoları GitHub’a bildirdiler, ancak hepsinin gözden geçirilmesi ve kaldırılması biraz zaman alacak, bu yüzden birçoğu hala halka açık durumda.
Soufian’ın açıkladığı gibi, çalışmaları sadece GitHub’da tek seferlik bir temizlik eylemi olarak hizmet etmeyi değil, yüklenen koddaki kötü niyetli talimatları işaretlemek için kullanılabilecek otomatik bir çözüm geliştirmek için bir tetikleyici olarak hareket etmeyi amaçlıyor.
Bu, ekibin araştırmasının ilk versiyonu ve dedektörlerini geliştirmek için çalışıyorlar. Şu anda, algılama aracı, daha güçlü bir karartma ile kodu kaçırıyor.