Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware

I ricercatori del Leiden Institute of Advanced Computer Science hanno trovato migliaia di repository su GitHub che offrono exploit PoC (proof-of-concept) falsi per varie vulnerabilità, alcune delle quali includevano malware.

GitHub è una delle più grandi piattaforme di hosting di codice e i ricercatori la utilizzano per pubblicare exploit PoC per aiutare la comunità della sicurezza a verificare le correzioni per le vulnerabilità o determinare l’impatto e la portata di un difetto.

Secondo il documento tecnico dei ricercatori del Leiden Institute of Advanced Computer Science, la possibilità di essere infettati da malware invece di ottenere un PoC potrebbe raggiungere il 10,3%, escludendo falsi e burle.

I ricercatori hanno analizzato poco più di 47.300 repository che pubblicizzavano un exploit per una vulnerabilità divulgata tra il 2017 e il 2021 utilizzando i tre meccanismi seguenti:

  • Analisi dell’indirizzo IP : confronto tra l’IP dell’editore del PoC e le blocklist pubbliche e VT e AbuseIPDB.
  • Analisi binaria : controlli attraverso VirusTotal sugli eseguibili forniti e sui relativi hash.
  • Analisi esadecimale e Base64 : decodifica i file offuscati prima di eseguire controlli binari e IP.
Metodo di analisi
Metodo di analisi dei dati (Arxiv.org)

Dei 150.734 IP univoci estratti, 2.864 voci sono risultate bloccate, 1.522 sono state rilevate come dannose nelle scansioni antivirus di Virus Total e 1.069 di esse erano presenti nel database di AbuseIPDB.

Indirizzi IP trovati in varie liste di blocco
Indirizzi IP trovati su varie blocklist  (Arxiv.org)

L’analisi binaria ha esaminato un set di 6.160 eseguibili e ha rivelato un totale di 2.164 campioni dannosi ospitati in 1.398 repository.

In totale, 4.893 repository su 47.313 testati sono stati ritenuti dannosi, la maggior parte dei quali riguardava vulnerabilità a partire dal 2020.

Repository dannosi all'anno
Repository dannosi all’anno (Arxiv.org)

Esaminando più da vicino alcuni di questi casi, i ricercatori hanno trovato una pletora di diversi malware e script dannosi, che vanno dai trojan di accesso remoto a Cobalt Strike.

Un caso interessante è quello di un PoC relativo alla CVE-2019-0708, comunemente noto come “BlueKeep”, che contiene uno script Python con base64 offuscata che recupera un VBScript da Pastebin.