數據分析方法（圖自：Arxiv.org）

研究人員使用如下三套方案，分析了 47300 多個 2017 至 2021 年間披露的漏洞利用存儲庫：

● IP 地址分析：將 PoC 發布者的 IP 地址與公共阻止列表、以及 VT 和 AbuseIPDB 進行比較。

(相關資料圖)

● 二進制分析：對提供的可執行文件、及其哈希值執行 VirusTotal 檢查。

● 十六進制和 Base64 分析：在執行二進制和 IP 檢查之前，解碼混淆文件。

各個阻止列表中匹配的 IP 地址數

結果發現，在提取的 150734 個唯一 IP 地址中，有 2864 個與已知的黑名單相匹配。

其中 1522 個被 VirusTotal 反病毒掃描中被標記為惡意，且有 1069 個被 AbuselPDB 數據庫所收錄。

年度惡意存儲庫數量

其次二進制分析檢查了一組 6160 個可執行文件，并揭示了托管在 1398 個存儲庫中的總計 2164 個惡意樣本。

在 47313 個被測試的存儲庫中，有 4893 個被標記為惡意 —— 其中大多數與 2020 年以來的漏洞有關，且報告中包含了一小組隱含惡意軟件（虛假 PoC）的存儲庫。

另外研究人員向 BleepingComputer 分享了至少 60 個其它示例，這些惡意內容仍在存在、且正在被 GitHub 清除。

混淆腳本和去混淆 Houdini

通過仔細研究其中一些案例，研究人員發現了大量不同的惡意軟件和有害腳本，比如遠程訪問木馬和 Cobalt Strike 。

以 CVE-2019-0708（又稱 BlueKeep）概念驗證為例，它包含了一個從 Pastebin 獲取 VBScript 的 base64 混淆 Python 腳本。

作為一款基于 JavaScript 的 Houdini RAT（遠程訪問木馬），其能夠通過 Windows 的命令提示符（CMD）執行遠程命令。

虛假 PoC 滲透示例

另一虛假 PoC 案例，則涉及收集系統信息、IP 地址和用戶代理的竊取器，之前有研究人員出于安全實驗的目的而創建 —— 包括來自 Darktrace 的 El Yadmani Soufian 安全研究員。

他非常友好地向 BleepingComputer 披露了這份技術報告中未包含的如下示例 —— 比如 PowerShell 概念驗證中的 base64 編碼二進制文件（被 Virus Total 標記為惡意軟件）。

虛假 PowerShell PoC

某個 Python PoC 中包含了單行代碼，解碼后會被 Virus Total 識別為惡意的 base64 有效負載。

某個偽造的 BlueKeep 漏洞利用，包含了一個被大多數反病毒引擎標記為惡意、并標識為 Cobalt Strike 的可執行文件。

假冒 PoC 的惡意單線有效載荷

此外還有隱藏在假冒 PoC 中的腳本，即使暫未包含非活動的惡意組件，但制作者可以隨時為它賦予殺傷力。

綜上所述，大家顯然不該盲目信任未經驗證來源的 GitHub 存儲庫，尤其是那些沒有經過審核的內容。

通過假冒 PoC 傳播的 Cobalt Strike

對于軟件測試人員來說，其下載的任何漏洞利用概念驗證項目，也都應該在執行前開展盡可能深入的檢查。

若代碼被混淆得很是模糊、且需要很長時間進行手動分析，請優先考慮將之放入被妥善隔離的虛擬機沙箱中進行處理。

無害但虛假的 PoC

最后，除了使用 VirusTotal 等開源情報工具對 PoC 二進制文件進行分析，也請注意檢查網絡中是否存在任何可以流量。

畢竟就算安全研究人員已經向 GitHub 上報目前已知的惡意存儲庫，官方仍需一段時間來驗證審查并刪除。