Uma exploração de código aberto recentemente copiada e hackeada por uma empresa de segurança respeitável, destinada a ajudar pesquisadores de ameaças, é o exemplo mais recente das novas táticas que os hackers usarão para espalhar malware.
PoCs de vulnerabilidades conhecidas são criadas para serem compartilhadas por estudantes, pesquisadores e profissionais de TI para melhorar software e fortalecer defesas. O risco é que qualquer coisa postada online possa ser abusada.
CSOonline relatou sobre a exploração original – e segura – do PoC, LDAPNightmare, criada pela SafeBreach para explorar o Windows Lightweight Directory Access Protocol (LDAP) em janeiro de 2019. 3. No entanto, hoje, a Trend Micro disse que encontrou uma versão maliciosa desse PoC. sentado no GitHub.
Em entrevista, Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, enfatizou que o PoC da empresa não foi comprometido, mas copiado e mal utilizado. Uma implementação real de prova de conceito foi publicada no site oficial do GitHub do SafeBreach.
“Sempre publicamos código-fonte aberto completo”, acrescentou ele, “para que as pessoas possam ter certeza de que é válido e não malicioso”.
“O repositório malicioso contendo o PoC parece ser um fork do criador original”, disse a Trend Micro em seu relatório. “Neste caso, os arquivos Python originais são substituídos por executáveis poc[dot]exe que foi preenchido usando UPX. “
Felizmente, a existência de um arquivo executável em um projeto baseado em Python foi uma pista para os profissionais da infosec de que algo estava errado.
O 'cavalo de Tróia clássico'
O cache ruim já foi removido. Mas sua descoberta é outro exemplo de por que qualquer pessoa da área de TI deve ter cuidado ao baixar código de qualquer lugar, incluindo um repositório de código aberto, disse David Shipley, CEO da empresa canadense de treinamento em inteligência Beauceron Security.
“Trojan vai virar Trojan”, disse ele em entrevista, descrevendo o esforço para atrair os despreparados como “uma tática clássica de engenharia social”.
“Este é o clássico Cavalo de Tróia: você procurará um PoC legítimo e baseado em pesquisas e encontrará um que se pareça com um PoC, mas encontrará um que funcione.”
A razão pela qual os atores assustadores usam essa tática, disse ele, é porque funciona. Entre as defesas: Verifique a prova de conceito em um ambiente de computador remoto.
“Qualquer código que apareça na web deve ser considerado impuro até que você saiba que é seguro”, acrescentou Shipley.
Não é um truque novo
O truque de usar PoC para ocultar um malware ou backdoor não é novo. Em 2023, por exemplo, Uptycs relatou uma prova de conceito negativa amplamente compartilhada no GitHub com o objetivo de abordar a vulnerabilidade do kernel Linux CVE-2023-35829. E de acordo com um estudo de 2022 realizado por pesquisadores da Universidade Cornell sobre PoCs hospedados pelo GitHub, cerca de 2% dos 47.285 repositórios examinados tinham indicadores de intenção maliciosa. “Este número mostra um aumento preocupante de PoCs maliciosos entre os códigos de exploração distribuídos no GitHub”, concluiu o estudo – e isso foi há mais de dois anos.
No outono passado, a SonicWall divulgou outro relatório sobre o aumento de PoCs maliciosos. “Embora os investigadores de segurança estejam frequentemente muito bem equipados para lidar e ver esta situação”, conclui, “é fácil tornar-se excessivamente confiante, o que leva à complacência”.
Use apenas coleções confiáveis
Os profissionais de segurança cibernética, incluindo as equipes azul e vermelha, só devem baixar conteúdo de repositórios de código aberto confiáveis e com várias estrelas, diz SafeBreach's Bar, e nunca baixar explorações de fontes não confiáveis.
Além disso, a Trend Micro aconselhou a equipe de TI a:
- sempre baixe códigos, bibliotecas e dependências de repositórios oficiais e confiáveis;
- esteja atento a repositórios com conteúdo suspeito que possam parecer ser o site da ferramenta ou programa que ele deveria hospedar;
- se possível, verifique a identidade do proprietário ou organização do armazém;
- revisar o histórico de comprometimento do cache e alterações recentes em busca de anomalias ou sinais de atividade maliciosa;
- esteja atento a repositórios com poucas estrelas, garfos ou doadores, especialmente se forem muito usados;
- procure revisões, problemas ou discussões sobre o repositório para identificar possíveis sinais de alerta.
