Esperti di sicurezza presi di mira con exploit CVE PoC dannosi su GitHubSecurity Affairs

I ricercatori hanno scoperto migliaia di repository GitHub che offrono exploit PoC (proof-of-concept) falsi per vari difetti utilizzati per distribuire malware.

Un team di ricercatori del Leiden Institute of Advanced Computer Science (Soufian El Yadmani, Robin The, Olga Gadyatskaya) ha scoperto migliaia di repository su GitHub che offrono exploit PoC (Proof of Concept) falsi per molteplici vulnerabilità.

Gli esperti hanno analizzato i PoC condivisi su GitHub per le vulnerabilità note scoperte nel 2017-2021, alcuni di questi repository sono stati utilizzati dagli attori delle minacce per diffondere malware.

Gli esperti hanno sottolineato che i repository di codice pubblico non forniscono alcuna garanzia che un determinato PoC provenga da una fonte affidabile.

“Abbiamo scoperto che non tutti i PoC sono affidabili. Alcuni proof-of-concept sono falsi (ovvero, in realtà non offrono funzionalità PoC) o addirittura dannosi: ad esempio, tentano di esfiltrare i dati dal sistema su cui vengono eseguiti o tentano di installare malware su questo sistema. ” si legge nel documento di ricerca pubblicato dagli esperti.

Il team si è concentrato su una serie di sintomi osservati nel set di dati raccolto, come chiamate a indirizzi IP dannosi, codice dannoso codificato o inclusi binari trojanizzati. I boffin hanno analizzato 47313 repository e 4893 di loro erano repository dannosi (cioè il 10,3% dei repository studiati presenta sintomi di intento dannoso).

“Questa cifra mostra una preoccupante prevalenza di PoC dannosi pericolosi tra il codice exploit distribuito su GitHub.” continua il foglio.

GitHub repository dannosi exploit PoC

I ricercatori hanno analizzato un totale di 358277 indirizzi IP, di cui 150734 erano IP univoci e 2864 erano nella lista nera. 1.522 indirizzi IP sono stati etichettati come dannosi da Virus Total e 1.069 di questi sono stati elencati nel database AbuseIPDB.

Dei 150.734 IP univoci estratti, 2.864 voci di blacklist corrispondenti. 1522 sono stati rilevati come dannosi nelle scansioni AV su Virus Total e 1069 erano presenti nel database AbuseIPDB.

La maggior parte dei rilevamenti dannosi sono correlati a vulnerabilità del 2020.

Durante la loro ricerca gli esperti hanno trovato molteplici esempi di PoC dannosi sviluppati per CVE e condiviso alcuni casi di studio.

Uno degli esempi è relativo a un PoC sviluppato per il CVE-2019-0708, noto anche come BlueKeep.

“Questo repository è stato creato da un utente con il nome Elkhazrajy. Il codice sorgente contiene una riga base64 che una volta decodificata sarà in esecuzione. Contiene un altro script Python con un collegamento a Pastebin28 che verrà salvato come VBScript, quindi eseguito dal primo comando exec. Dopo aver esaminato il VBScript, abbiamo scoperto che contiene il malware Houdini”. continua il foglio.

Un altro esempio dettagliato dagli esperti è relativo a un PoC dannoso progettato per raccogliere informazioni sul bersaglio. In questo caso l’URL del server utilizzato per l’esfiltrazione dei dati era codificato in base64.

I boffin hanno spiegato che il loro studio ha diversi limiti. Ad esempio, l’API GitHub si è rivelata inaffidabile e non tutti i repository corrispondenti agli ID CVE utilizzati sono stati raccolti.

Un’altra limitazione è correlata all’uso dell’euristica per il rilevamento di PoC dannosi. Gli esperti hanno spiegato che l’approccio può non rilevare alcuni PoC dannosi nel loro set di dati.

“Tuttavia, questo approccio non è in grado di rilevare ogni PoC dannoso basato sul codice sorgente, poiché è sempre possibile trovare modi più creativi per offuscarlo. Abbiamo studiato la somiglianza del codice come funzionalità per aiutare a identificare nuovi repository dannosi. I nostri risultati mostrano che in effetti i repository dannosi sono in media più simili tra loro rispetto a quelli non dannosi”. concludono gli esperti. “Questo risultato è il primo passo per sviluppare tecniche di rilevamento più solide”.

I ricercatori hanno condiviso i loro risultati con GitHub e alcuni dei repository dannosi devono ancora essere rimossi.

Seguimi su Twitter: @securityaffairs e Facebook

Pierluigi Paganini

(Affari di sicurezza hacking, GitHub dannoso)




Leave a Comment

Your email address will not be published. Required fields are marked *