Leiden Üniversitesi’nden araştırmacılar binlerce Kavram Kanıtı’nı analiz etti ve GitHub’da bulduklarının yüzde 10’unun kötü niyetli olduğunu buldu.
PoC’lerin kullanımı
Bir güvenlik açığının var olduğunu bilmek ile bir PoC’ye sahip olmak arasında büyük bir fark vardır. Bir başkası yeni bir güvenlik açığının nasıl silah haline getirilebileceğini bulma işine çoktan giriştiyse, bu sizin onu test etmenize olanak tanır ki bu kesinlikle siber suçluların hayatını kolaylaştırmak için yapılmaz.
Güvenlik uzmanları, güvenlik açıklarını daha iyi anlamalarını sağladığı için PoC’lerle ilgilenir. PoC’ler ayrıca belirli hafifletme tekniklerinin veya güncellemelerin sorunu çözüp çözmediğini görme fırsatı sunar. Başarılı saldırıların olası etkisini göstermek için kırmızı ekip oluşturmak için de kullanılabilirler.
Soruşturma
Araştırmacılar, 2017 ile 2021 yılları arasında keşfedilen bilinen güvenlik açıkları için GitHub’da paylaşılan PoC’leri incelediler. İndirip kontrol ettikleri 47.313 depodan 4.893’ünün kötü niyetli olarak nitelendirildiğini tespit ettiler. Yeterlilik, bilinen kötü amaçlı IP adreslerine yapılan çağrılara, kodlanmış kötü amaçlı koda veya Truva atına bulaşmış ikili dosyaların varlığına dayanıyordu. Bu, araştırmacıların kontrol ettiği örneklerin yüzde 10’undan fazlası.
Diğer kaynaklar
Exploit-DB gibi PoC’ler için daha saygın kaynaklar, PoC’lerin etkinliğini ve meşruiyetini doğrulamaya çalışır. Bunun aksine, GitHub gibi genel kod depolarında böyle bir güvenlik açığı incelemesi süreci yoktur. Ancak bir araştırmacı, belirli bir güvenlik açığına dayalı bir PoC arıyorsa ve bunu daha saygın bir kaynakta bulamazsa, halka açık platformlara başvurmak zorunda kalacaktır.
Göstergeler
Binlerce PoC’nin ayrıntılı bir analizini yapmak imkansız bir görev olduğundan, araştırmacıların bir PoC’nin gerçekten kötü amaçlı olup olmadığını belirlemek için belirli göstergelere karar vermesi gerekiyordu. Bir PoC’nin bir güvenlik açığından yararlanma davranışı çoğu kötü amaçlı yazılımdan koruma çözümü tarafından kötü amaçlı olarak algılanabileceğinden kolay bir görev değildir. Bu nedenle araştırmacılar, orijinal PoC hedefleriyle ilgisi olmayan diğer bazı kötü niyetli hedefleri gösteren özellikleri belirlemek zorunda kaldı.
Bunu aşağıdaki göstergeleri arayarak yaptılar:
- IP adresleri: Araştırmacılar IP adreslerini çıkardı ve tüm özel IP adreslerini kaldırdı. Sonuçlar VirusTotal, AbuseIPDB ve diğer herkese açık engelleme listeleriyle karşılaştırıldı.
- Kötü amaçlı yazılım saldırılarının çoğu Windows kullanıcılarına karşı gerçekleştirildiğinden, Windows sistemlerinde çalıştırılabilen EXE dosyalarına odaklanan ikili dosyalar. Araştırmacılar bunları ayıkladıktan sonra VirusTotal’daki hash’lerini kontrol ettiler ve kötü amaçlı olarak tespit edilenler arasından hedef güvenlik açığından yararlanma olarak listelenenleri reddettiler.
- Gizlenmiş yükler: Araştırmacılar, onaltılık ve base64 analizi gerçekleştirerek bazı ekstra kötü amaçlı PoC’ler çıkarabildiler.
Metodolojilerinin tam bir açıklaması için, makalelerinin tamamını okumanızı öneririz.
Sonuçlar
Araştırmacılar, PoC’lere sahip 47.313 GitHub deposundan 4.893 kötü amaçlı depo tespit etti (yani, yüzde 10,3). Bu kötü amaçlı PoC’lerin bazılarının içinde, arka kapıları açmaya veya üzerinde çalışan sisteme kötü amaçlı yazılım yerleştirmeye yönelik talimatlar buldular. Bu, bu PoC’lerin gerçekten de güvenlik hizmeti topluluğunu hedef aldığı anlamına gelir ve bu da GitHub’dan bu PoC’leri kullanan bu tür güvenlik şirketinin her müşterisinin hedeflenmesine yol açar. Sonuçlar ayrıca, kötü niyetli veri havuzlarının, kötü niyetli olmayanlara göre ortalama olarak birbirine daha benzer olduğunu gösteriyor; bu da daha fazla araştırma için geliştirilmiş yöntemlere yol açabilir.