Güvenlik araştırmacıları GitHub’da kötü amaçlı yazılımlarda da dahil olmak üzere çeşitli güvenlik açıkları için sahte PoC içerikleri barındıran binlerce repository keşfetti.
Araştırmacılar, aşağıdaki üç mekanizmayı kullanarak 2017 ve 2021 arasında açıklanan güvenlik açıkları için 47.300’den biraz fazla depoyu analiz etti.
- IP adresi analizi : PoC’nin yayıncı IP’sini genel engelleme listeleri ve VT ve AbuseIPDB ile karşılaştırma.
- İkili analiz : Sağlanan binary dosyalar ve bunların hash’leri üzerinde VirusTotal kontrolleri
- Onaltılık ve Base64 analizi : ikili ve IP kontrollerini gerçekleştirmeden önce karmaşık dosyaların decode edilmesi
Binary analizi için 6.160 executable dosyayı inceledi ve 1.398 depoda barındırılan toplam 2.164 kötü amaçlı dosya keşfedildi. Toplamda test edilen 47.313 depodan 4.893’ü kötü niyetli olarak kabul edildi ve bunların çoğu 2020’deki güvenlik açıklarıyla ilgiliydi.
Bu depolarıdan bazılarını daha yakından inceleyen araştırmacılar, uzaktan erişim truva atlarından Cobalt Strike’a kadar çok sayıda farklı kötü amaçlı yazılım ve zararlı komut dosyası buldular. Bunlardan en ilginci “BlueKeep” olarak bilinen CVE-2019-0708 için bir PoC’i oldu.
Virüs Total’de base64 kodlu Python PoC.
Bir başka PoC içinde saklanan komut dosyası.
Yazılımcıların indirdikleri PoC’leri dikkatlice incelemeleri ve çalıştırmadan önce mümkün olduğunca çok kontrol yapmaları tavsiye ediliyor.
Kaynak: bleepingcomputer.com
