科学探索|GitHub被曝托管了成千上万个包含恶意软件的PoC漏洞利用存储库 GitHub被曝托管了成千上万个包

作为业内头部代码托管平台之一，莱顿高级计算机科学研究所的人员，刚刚曝光了数千个基于恶意软件的虚假概念验证（PoC）漏洞利用。原本该平台旨在方便研究人员发布 PoC，以帮助安全社区验证漏洞修复、或确定漏洞的影响和范围。但是最新研究发现，感染恶意软件（而不是获得 PoC）的概率，竟高达 10.3% —— 这还不包括经过验证的假冒 / 恶作剧软件。

文章图片

【科学探索|GitHub被曝托管了成千上万个包含恶意软件的PoC漏洞利用存储库】数据分析方法（图自：Arxiv.org）
研究人员使用如下三套方案，分析了 47300 多个 2017 至 2021 年间披露的漏洞利用存储库：

● IP 地址分析：将 PoC 发布者的 IP 地址与公共阻止列表、以及 VT 和 AbuseIPDB 进行比较。
● 二进制分析：对提供的可执行文件、及其哈希值执行 VirusTotal 检查。
● 十六进制和 Base64 分析：在执行二进制和 IP 检查之前，解码混淆文件。

文章图片

各个阻止列表中匹配的 IP 地址数
结果发现，在提取的 150734 个唯一 IP 地址中，有 2864 个与已知的黑名单相匹配。
其中 1522 个被 VirusTotal 反病毒扫描中被标记为恶意，且有 1069 个被 AbuselPDB 数据库所收录。

文章图片

年度恶意存储库数量
其次二进制分析检查了一组 6160 个可执行文件，并揭示了托管在 1398 个存储库中的总计 2164 个恶意样本。
在 47313 个被测试的存储库中，有 4893 个被标记为恶意 —— 其中大多数与 2020 年以来的漏洞有关，且报告中包含了一小组隐含恶意软件（虚假 PoC）的存储库。
另外研究人员向 BleepingComputer 分享了至少 60 个其它示例，这些恶意内容仍在存在、且正在被 GitHub 清除。

文章图片

混淆脚本和去混淆 Houdini
通过仔细研究其中一些案例，研究人员发现了大量不同的恶意软件和有害脚本，比如远程访问木马和 Cobalt Strike。
以 CVE-2019-0708（又称 BlueKeep）概念验证为例，它包含了一个从 Pastebin 获取 VBScript 的 base64 混淆 Python 脚本。
作为一款基于 JavaScript 的 Houdini RAT（远程访问木马），其能够通过 Windows 的命令提示符（CMD）执行远程命令。

文章图片

虚假 PoC 渗透示例
另一虚假 PoC 案例，则涉及收集系统信息、IP 地址和用户代理的窃取器，之前有研究人员出于安全实验的目的而创建 —— 包括来自 Darktrace 的 El Yadmani Soufian 安全研究员。
他非常友好地向 BleepingComputer 披露了这份技术报告中未包含的如下示例 —— 比如 PowerShell 概念验证中的 base64 编码二进制文件（被 Virus Total 标记为恶意软件）。

文章图片

虚假 PowerShell PoC
某个 Python PoC 中包含了单行代码，解码后会被 Virus Total 识别为恶意的 base64 有效负载。
某个伪造的 BlueKeep 漏洞利用，包含了一个被大多数反病毒引擎标记为恶意、并标识为 Cobalt Strike 的可执行文件。