APIIRO’daki güvenlik araştırmacıları, tedarik zinciri saldırılarını engellemek için yazılım projelerine eklenmeden önce kötü amaçlı kodu algılamak ve engellemek için tasarlanmış iki ücretsiz, açık kaynaklı araç yayınladılar.
İki araç, SEMGREP ve OpenGREP için, minimal yanlış pozitiflerle kötü niyetli kod modellerini tespit etmek ve çekme isteklerinde (PRS) şüpheli kodda şüpheli kod tespit eden ve uyaran önlemeyi önlemek için tasarlanmış kapsamlı bir kural setinden oluşur.
Apiiro’nun güvenlik araştırmacısı Matan Giladi’ye göre, araçlar minimal yanlış pozitif algılama oranına sahiptir ve bu da onları gerçek dünya uygulamasında özellikle değerli hale getirir.
Özellikle, PYPI paketleri için kural setinin algılama doğruluğu% 94.3, NPM paketleri için hala etkileyici% 88,4’e düşer. İncelenen vakaların% 91,5’inde kötü niyetli PRS’yi başarıyla işaretleyin.
Kaynak: Apiiro
Kötü amaçlı kod yakalamak
APIIRO’nun kötü amaçlı kod algılama stratejisi, meşru kodda nadir görülen ancak kötü amaçlı yazılımlarda yaygın olan davranışları gösteren koddaki şüpheli kalıplar olan “kod anti-desenleri” tanımlamaya dayanmaktadır.
Tespit sistemi statik analiz kullanır, yani kodu yürütmeden inceler, ortamı kazara enfeksiyonlardan korur.
Bu anti-desenler şunları içerir:
- Kodun işlevselliğini ve niyetini gizlemeye yardımcı olan kodlama, iç içe dönüşümler ve çalışma zamanı değişiklikleri gibi çeşitli gizleme yöntemleri.
- Çalışma zamanında keyfi kod yürütülmesine izin veren Exec (), Değer () veya benzeri işlevlerin kullanımı.
- Harici, bilinmeyen sunuculardan uzaktan yükleri indiren ve yürüten kod.
- Hassas kullanıcı verilerinin harici konumlara eksfiltrasyon yöntemleri.
Bu kural seti, NPM ve PYPI paketlerini taramak için kullanılan veya SEMGREP veya OpenGREP kullanılarak diğer platformlara uyarlanmış otomatik depo taraması için CI/CD boru hatlarına entegre edilebilir.
Aynı anti-desenleri kullanan Proteing, kod birleştirilmeden önce gerçek zamanlı olarak çekme istek olaylarını taramak için tasarlanmıştır ve üretime ulaşmadan önce herhangi bir tehdit durdurur.
Kaynak: Apiiro
Yetkili bir gözden geçiren onu onaylayana veya geliştiricilerin risklerden uyarılmasını sağlamak için tespit edilen sorunlar hakkında yorum ekleyene kadar birleşmeyi engelleyecek şekilde ayarlanabilir.
Kaynak: Apiiro
APIIRO, derlenmiş ikili dosyalarda gizli kötü amaçlı yazılımları veya NPM ve PYPI paketlerini doğrudan tarayamadıkları için araçlarının hala pratik olarak sınırlı olduğunu kabul eder, ancak gelecekteki güncellemelerde derin kod analizi ve AI destekli taramalar gibi daha fazla özellik eklemeyi planlamaktadır.
Hem kötü amaçlı kod algılama kuralları hem de önleme aracı, bunların nasıl kullanılacağına dair talimatlarla GitHub’da ücretsiz olarak kullanılabilir.
BleepingComputer bu güvenlik araçlarını test etmedi ve etkinliklerini veya güvenliklerini garanti edemez.