Miles de repositorios de GitHub entregan falsos exploits de PoC con malware

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores del Leiden Institute of Advanced Computer Science encontraron miles de repositorios en GitHub que ofrecen exploits de prueba de concepto (PoC) falsos para varias vulnerabilidades, algunas de las cuales incluyen malware.

GitHub es una de las plataformas de alojamiento de código más grandes, y los investigadores la usan para publicar vulnerabilidades de PoC para ayudar a la comunidad de seguridad a verificar soluciones para vulnerabilidades o determinar el impacto y el alcance de una falla.

Según el documento técnico de los investigadores del Leiden Institute of Advanced Computer Science, la posibilidad de infectarse con malware en lugar de obtener un PoC podría llegar al 10,3 %, excluyendo las falsificaciones comprobadas y el software de broma.

Recogida y análisis de datos

Los investigadores analizaron un poco más de 47 300 repositorios que anuncian un exploit para una vulnerabilidad revelada entre 2017 y 2021 utilizando los siguientes tres mecanismos:

    Análisis de direcciones IP: comparación de la IP del editor de PoC con listas de bloqueo públicas y VT y AbuseIPDB.
    Análisis binario: ejecute comprobaciones de VirusTotal en los ejecutables proporcionados y sus hashes.
    Análisis hexadecimal y Base64: decodifique archivos ofuscados antes de realizar comprobaciones binarias y de IP.

Método de análisis de datos
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De las 150 734 direcciones IP únicas extraídas, 2864 entradas de la lista de bloqueo coincidieron, 1522 se detectaron como maliciosas en los análisis antivirus en Virus Total y 1069 de ellas estaban presentes en la base de datos AbuseIPDB.

Direcciones IP encontradas en varias listas de bloqueo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El análisis binario examinó un conjunto de 6160 ejecutables y reveló un total de 2164 muestras maliciosas alojadas en 1398 repositorios.

En total, 4.893 repositorios de los 47.313 probados se consideraron maliciosos, y la mayoría de ellos se referían a vulnerabilidades de 2020.

Repositorios maliciosos por año
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El informe contiene un pequeño conjunto de repositorios con PoC falsos que entregaron malware. Sin embargo, los investigadores compartieron con BleepingComputer al menos otros 60 ejemplos que aún están activos y en proceso de ser eliminados por GitHub.

Malware en el PoC

Al observar más de cerca algunos de esos casos, los investigadores encontraron una gran cantidad de diferentes malware y scripts dañinos, que van desde troyanos de acceso remoto hasta Cobalt Strike.

Un caso interesante es el de un PoC para CVE-2019-0708, comúnmente conocido como "BlueKeep", que contiene un script de Python ofuscado en base64 que obtiene un VBScript de Pastebin.

El script es Houdini RAT, un antiguo troyano basado en JavaScript que admite la ejecución remota de comandos a través de Windows CMD.

Script ofuscado y Houdini desofuscado
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En otro caso, los investigadores detectaron un PoC falso que era un ladrón de información (stealer) que recopilaba información del sistema, dirección IP y agente de usuario.

Esto fue creado anteriormente como un experimento de seguridad por otro investigador, por lo que encontrarlo con la herramienta automatizada fue una confirmación para los investigadores de que su enfoque funcionó.

Ejemplo de exfiltración de PoC falso
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uno de los investigadores, El Yadmani Soufian, que también es investigador de seguridad en Darktrace, tuvo la amabilidad de proporcionar ejemplos adicionales no incluidos en el informe técnico, que se detallan a continuación:

PowerShell PoC que contiene un binario codificado en base64 marcado como malicioso en Virus Total.

PoC falso de PowerShell
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Python PoC que contiene una sola línea que decodifica una carga útil codificada en base64 marcada como maliciosa en Virus Total.

Carga útil malintencionada de una sola línea que se hace pasar por un PoC
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Falso exploit de BlueKeep que contiene un ejecutable que la mayoría de los motores antivirus marcan como malicioso e identifican como Cobalt Strike.

Cobalt Strike lanzado a través de PoC falso
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un script que se esconde dentro de un PoC falso con componentes maliciosos inactivos que podrían causar daños si su autor así lo desea.

PoC inofensivo pero falso
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cómo mantenerse a salvo

Confiar ciegamente en un repositorio en GitHub de una fuente no verificada sería una mala idea ya que el contenido no está moderado, por lo que corresponde a los usuarios revisarlo antes de usarlo.

Se recomienda a los probadores de software que analicen cuidadosamente los PoC que descargan y ejecuten tantas verificaciones como sea posible antes de ejecutarlos.

Soufian cree que todos los evaluadores deben seguir estos tres pasos:

    Lea atentamente el código que está a punto de ejecutar en su red o la de su cliente.
    Si el código está demasiado ofuscado y necesita demasiado tiempo para analizarlo manualmente, guárdelo en un entorno (por ejemplo, una máquina virtual aislada) y verifique su red en busca de tráfico sospechoso.
    Utilice herramientas de inteligencia de código abierto como VirusTotal para analizar archivos binarios.

Los investigadores informaron todos los repositorios maliciosos que descubrieron a GitHub, pero pasará algún tiempo hasta que todos sean revisados y eliminados, por lo que muchos aún permanecen disponibles para el público.

Como explicó Soufian, su estudio tiene como objetivo no solo servir como una acción de limpieza única en GitHub, sino actuar como un disparador para desarrollar una solución automatizada que podría usarse para marcar instrucciones maliciosas en el código cargado.

Esta es la primera versión de la investigación del equipo y están trabajando para mejorar su detector. Actualmente, la herramienta de detección pierde el código con una ofuscación más fuerte.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta