Redian新闻
>
提高警惕!黑客在 GitHub 上利用虚假 PoC 漏洞钓鱼

提高警惕!黑客在 GitHub 上利用虚假 PoC 漏洞钓鱼

公众号新闻


莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库,这些存储库为各种漏洞提供虚假的概念验证(PoC),并借此隐藏传播恶意软件。


GitHub是最大的代码托管平台之一,研究人员用它来发布PoC漏洞,以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。


据莱顿高级计算机科学研究所的研究人员称,如果不包括被证实的恶作剧软件,以虚假PoC进行掩饰,实际上恶意软件的可能性高达10.3%。



数据收集和分析

研究人员使用以下三种机制分析了47300多个储存库,包含2017年至2021年期间披露的漏洞:


  • IP地址分析:将PoC的发布者IP与公共封锁名单以及VT和AbuseIPDB进行比较。

  • 二进制分析:对提供的可执行文件及其哈希值运行VirusTotal检查。

  • 十六进制和Base64分析:在执行二进制和IP检查之前对混淆的文件进行解码。



在提取的150734个独特的IP中,有2864个与封锁名单条目相匹配,1522个在Virus Total的反病毒扫描中被检测为恶意的,其中1069个存在于AbuseIPDB数据库中。二进制分析检查了一组6160个可执行文件,发现共有2164个恶意样本托管在1398个存储库中。



总的来说,在测试的47313个软件库中,有4893个软件库被认为是恶意的,其中大部分涉及到2020年的漏洞。报告中包含了一小部分带有虚假PoC的软件库,这些软件库正在传播恶意软件。研究人至少分享了60个案例,然而这些例子仍然是存活的,并且正在被GitHub取缔。

PoC中的恶意软件

通过仔细研究其中一些案例,研究人员发现了大量不同的恶意软件和有害脚本,从远程访问木马到Cobalt Strike。


一个有趣的案例是CVE-2019-0708的PoC,通常被称为 "BlueKeep",它包含一个base64混淆的Python脚本,从Pastebin获取一个VBScript。该脚本是Houdini RAT,一个基于JavaScript的老式木马,支持通过Windows CMD执行远程命令。



在另一个案例中,研究人员发现了一个假的PoC,这是一个收集系统信息、IP地址和用户代理的信息窃取器。这是另一个研究人员之前创建的安全实验,所以用自动工具找到它是对研究人员的确认,他们的方法是有效的。


还有一些没有在技术报告中体现的例子,例如:


PowerShell PoC包含一个用base64编码的二进制文件,在Virus Total中被标记为恶意的;


Python PoC包含一个单行代码,用于解码在Virus Total中被标记为恶意的base64编码的有效载荷。


伪造的BlueKeep漏洞包含一个被大多数反病毒引擎标记为恶意的可执行文件,并被识别为Cobalt Strike。一个隐藏在假PoC中的脚本,其中有不活跃的恶意组件,但如果其作者愿意,依旧可以造成损害。




如何保持安全

盲目相信GitHub上未经验证的仓库是不可取的,因为其内容没有经过审核,所以用户在使用前要对其进行审查。建议软件测试人员仔细检查他们下载的PoC,并在执行之前尽可能多地进行检查。


专家认为,所有测试人员都应该遵循这三个步骤。


  1. 仔细审查即将在网络上运行的代码;

  2. 如果代码太模糊,需要太多的时间来手动分析,就在一个环境中(例如一个隔离的虚拟机)进行沙盒测试,并检查你的网络是否有可疑的流量;

  3. 使用开源的情报工具,如VirusTotal来分析二进制文件。


目前,研究人员已经将他们发现的所有恶意软件库报告给GitHub,但在所有这些软件库被审查和删除之前,还需要一些时间,所以许多软件库仍然对公众开放。


参考来源:

https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/


链接:https://mp.weixin.qq.com/s/FmKbiapXlx11JE7f2YyaWw

(版权归原作者所有,侵删)

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
突发!华人快自查!Medibank泄露事件恶化!黑客提高勒索要求!威胁公布大量客户信息!齐白石果真害人不浅澳人爱用密码榜出炉!“123456”登顶!平均每人被泄3条密码!黑客1秒就破解!加拿大超级黑客在美被判20年监禁!靠比特币勒索软件获利2800万刀!曾是政府雇员!APP漏洞挖掘之某款APP开发商通用漏洞的挖掘莎莉磅蛋糕(Sara Lee Pound Cake)突发!黑客再次行动,公布第四批medibank用户信息!扬言周五继续!利用虚拟面单骗取快递公司千万元,面单倒卖“黑产”如何形成?澳洲最常见电话骗局公布!骗子最爱冒充亚马逊、NBN和银行!华人提高警惕!树老叶嫩----枯木逢春(温哥华一周散记/多图)澳洲Optus遭受网络攻击,上千万澳人信息被黑客出售!警方:正在暗网追查黑客…【广而告之】注意!当教授对你说这几句话时,就要提高警惕啦!《巫师》初代宣布用虚幻5引擎重制!《守望先锋:归来》万圣节皮肤太贵被狂喷20个关系中应该提高警惕的「雷区」,你踩过几个?移民局突击检查!黑中介从中国找工人9年怒赚3.5亿!虚假简历!顶包工人!性贿赂澳洲高层!事情败露,中国工人打包回国...斯坦福校长涉嫌学术造假被查!多篇论文被指控数据造假,使用虚假图片……黑客在线出售4亿Twitter用户数据,喊话马斯克破财消灾警惕!澳警方提醒:注意孩子这些异常行为!恐怖组织利用网游招募成员无耻!黑客索要巨额赎金未果,再爆Medibank客户数据,含堕胎等私密信息!内政部长震怒:卑鄙小人!在美华人提高警惕,诈骗无处不在,专挑老人下手,一华人老妇被骗积蓄200万美金,晚年悲凉。Medibank客户信息疑似被窃!黑客索要赎金,否则出售客户数据警惕!东湾Stockton惊现连环杀人魔,连杀5个独行男性~作案动机不明用虚拟环境训练“更聪明”的自动配送车,清华科学家在研究这件事Medibank与黑客谈判邮件曝光!双方“讨价还价”两周,黑客:我们只想要钱YY 直播GitHub开源项目,霸屏Github排名榜!3.85亿“中产”提高警惕,拒绝被吃干抹净天降羽毛、诡异医疗垃圾、提高防备等级的邻国,有人依然要我们放松警惕!这个羊毛实在!Grubhub 外卖券满$10立减$5!足不出户吃吃吃~自救指南收好!黑客再度公开Medibank用户信息,近千万澳人恐受影响APP漏洞挖掘之某下载量超101万的APP有几个漏洞可以GetShell?这些保健品要提高警惕,当心骗钱又害命!渔歌子(2):一朵云来轻雨淋重大!澳洲Medibank用户信息再遭泄露!黑客扬言:不给钱“周五继续”!龙卷风健康快递 207Acciona Energía 收购德州最大的电池储能项目
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。