萊頓高級計算機科學研究所的研究人員在GitHub上發(fā)現(xiàn)了數(shù)以千計的存儲庫，這些存儲庫為各種漏洞提供虛假的概念驗證（PoC）代碼，并借此傳播惡意軟件和釣魚。

GitHub是最大的代碼托管平臺之一，研究人員用它來發(fā)布PoC漏洞，以幫助安全社區(qū)驗證漏洞的修復或確定一個漏洞的影響和范圍。

據(jù)萊頓高級計算機科學研究所的研究人員稱，如果不包括被證實的惡作劇軟件，以虛假PoC進行掩飾，實際上上惡意軟件的可能性可能高達10.3%。

數(shù)據(jù)收集和分析

研究人員使用以下三種機制分析了47300多個儲存庫，包含2017年至2021年期間披露的漏洞：

IP地址分析：將PoC的發(fā)布者IP與公共封鎖名單以及VT和AbuseIPDB進行比較。

二進制分析：對提供的可執(zhí)行文件及其哈希值運行VirusTotal檢查。

十六進制和Base64分析：在執(zhí)行二進制和IP檢查之前對混淆的文件進行解碼。

在提取的150734個獨特的IP中，有2864個與封鎖名單條目相匹配，1522個在Virus Total的反病毒掃描中被檢測為惡意的，其中1069個存在于AbuseIPDB數(shù)據(jù)庫中。二進制分析檢查了一組6160個可執(zhí)行文件，發(fā)現(xiàn)共有2164個惡意樣本托管在1398個存儲庫中。

總的來說，在測試的47313個軟件庫中，有4893個軟件庫被認為是惡意的，其中大部分涉及到2020年的漏洞。報告中包含了一小部分帶有虛假PoC的軟件庫，這些軟件庫正在傳播惡意軟件。研究人至少分享了60個案例，然而這些例子仍然是存活的，并且正在被GitHub取締。

PoC中的惡意軟件

通過仔細研究其中一些案例，研究人員發(fā)現(xiàn)了大量不同的惡意軟件和有害腳本，從遠程訪問木馬到Cobalt Strike。

一個有趣的案例是CVE-2019-0708的PoC，通常被稱為 "BlueKeep"，它包含一個base64混淆的Python腳本，從Pastebin獲取一個VBScript。該腳本是Houdini RAT，一個基于JavaScript的老式木馬，支持通過Windows CMD執(zhí)行遠程命令。

在另一個案例中，研究人員發(fā)現(xiàn)了一個假的PoC，這是一個收集系統(tǒng)信息、IP地址和用戶代理的信息竊取器。這是另一個研究人員之前創(chuàng)建的安全實驗，所以用自動工具找到它是對研究人員的確認，他們的方法是有效的。

還有一些沒有在技術報告中體現(xiàn)的例子，例如：

PowerShell PoC包含一個用base64編碼的二進制文件，在Virus Total中被標記為惡意的。

Python PoC包含一個單行代碼，用于解碼在Virus Total中被標記為惡意的base64編碼的有效載荷。

偽造的BlueKeep漏洞包含一個被大多數(shù)反病毒引擎標記為惡意的可執(zhí)行文件，并被識別為Cobalt Strike。

一個隱藏在假PoC中的腳本，其中有不活躍的惡意組件，但如果其作者愿意，依舊可以造成損害。

如何保持安全

盲目相信GitHub上未經(jīng)驗證的倉庫是不可取的，因為其內(nèi)容沒有經(jīng)過審核，所以用戶在使用前要對其進行審查。建議軟件測試人員仔細檢查他們下載的PoC，并在執(zhí)行之前盡可能多地進行檢查。

專家認為，所有測試人員都應該遵循這三個步驟。

1. 仔細閱讀你即將在你或你客戶的網(wǎng)絡上運行的代碼。

2. 如果代碼太模糊，需要太多的時間來手動分析，就在一個環(huán)境中（例如一個隔離的虛擬機）進行沙盒測試，并檢查你的網(wǎng)絡是否有可疑的流量。

3. 使用開源的情報工具，如VirusTotal來分析二進制文件。

目前，研究人員已經(jīng)將他們發(fā)現(xiàn)的所有惡意軟件庫報告給GitHub，但在所有這些軟件庫被審查和刪除之前，還需要一些時間，所以許多軟件庫仍然對公眾開放。

來源：https://www.freebuf.com/news/347905.html

https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/