연구원들이 가짜 PoC 익스플로잇이 있는 수천 개의 GitHub 리포지토리를 발견했습니다.
라이덴 고급 컴퓨터 과학 연구소의 연구원들은 취약점 및 멀웨어에 대한 가짜 개념 증명(PoC) 익스플로잇을 제공하는 수천 개의 리포지토리를 GitHub에서 발견했습니다.
원격 트로이 목마부터 코발트 스트라이크까지 다양한 악성 프로그램과 악성 스크립트가 연구진에 의해 발견되었습니다.
연구진은 2017년부터 2021년 사이에 발견된 취약점에 대한 익스플로잇을 표시하는 47,300개 이상의 리포지토리를 세 가지 메커니즘을 사용하여 분석했습니다: IP 주소 분석: PoC의 게시자 IP를 공개 블록리스트 및 VT 및 AbuseIPDB와 비교, 바이너리 분석: 제공된 실행 파일과 해당 해시에 대한 VirusTotal 검사를 수행, 16진수 및 Base64 분석: 바이너리 및 IP 검사를 수행하기 전에 난독화된 파일을 해독합니다.
연구진은 추출된 150,734개의 고유 IP 주소와 2,864개의 일치하는 차단 목록 항목을 발견했으며, 이 중 1,522개는 바이러스 토탈의 안티바이러스 검사에서 악성으로 탐지되었고 1,069개는 AbuseIPDB 데이터베이스에 존재했습니다.
바이너리 분석을 통해 6,160개의 실행 파일을 검사한 결과, 1,398개의 리포지토리에서 총 2,164개의 악성 샘플이 호스팅된 것을 발견했습니다. 전체적으로 테스트된 47,313개의 리포지토리 중 4,893개가 악성 리포지토리로 분류되었으며, 2020년 현재 대부분 버그와 관련된 것으로 나타났습니다.
이 보고서에는 멀웨어를 제공한 가짜 PoC가 있는 소수의 리포지토리가 포함되어 있으며, 연구원들은 60개 이상의 리포지토리가 깃허브에서 제거되고 있다고 밝혔습니다.
이 사건을 조사하는 동안 연구원들은 원격 액세스 트로이 목마부터 코발트 스트라이크에 이르기까지 여러 악성 프로그램과 스크립트를 발견했습니다. 조사된 사례에는 "BlueKeep"으로 알려진 CVE-2019-0708에 대한 PoC가 포함되어 있으며, 여기에는 Pastebin에서 VBScript를 가져오는 base64로 위장한 Python 스크립트가 포함되어 있습니다. 이 스크립트는 윈도우 CMD를 통한 원격 명령 실행을 지원하는 오래된 자바스크립트 기반 트로이 목마인 후디니 RAT입니다.
보안 예방책으로, 사용자는 확인되지 않은 출처의 GitHub 리포지토리를 신뢰하지 않는 것이 좋습니다. 또한 소프트웨어 테스터는 다운로드한 PoC를 주의 깊게 확인하고 실행하기 전에 여러 번 확인하는 것이 좋습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=R6OGGQHjMYY