fake PoC

PoCはProof of Conceptの略で、概念実証のことです。
新しい技術やアイデアが実現可能であるか、十分な効果を得られるかなどを確認するために行われる一連の検証工程のことです。
サイバーセキュリティの分野においては特定の脆弱性が実際になんらかの作用が実現できるのかを確認するための実装のことをPoCと呼んだりします。

で、こういったPoCコードは非常に多数が公開されています。
公開される場所としてよく選ばれるのはGitHubです。

イメージとしてはこういったPoCコードの中には怪しい実装も含まれているのだということは想像できます。
しかしどうやら私の想像していたよりもかなり多くの怪しいものが含まれているようです。
こういう感じです。

• IPアドレス分析
  GitHubで公開されている多数のPocコードを確認します。
  この分析ではPoCコードを公開したIPアドレスに注目します。
  このIPアドレスがなんらかのブロックすべきIPアドレスのリストに含まれているかを確認します。
  ある調査では抽出された150,734のユニークなIPのうち、実に2,864のIPがブロックリストに含まれたものであることがわかりました。

   

• バイナリ分析
  公開されているPoCのなかにすぐに実行可能なバイナリが含まれている場合があります。
  このバイナリをVirusTotalで確認します。
  6,160個の実行可能ファイルのセットが調査対象となり、そのうちの2,164個が悪意のあるものと判定されました。

この調査の際の結果では、この種のPoCを装った悪意のあるもののGitHubでの配布は2017年から確認でき、その数は年々増加傾向であることがわかりました。

PastebinからVBScriptをフェッチするbase64で難読化されたPythonスクリプトだったり、base64でエンコードされたペイロードをデコードするワンライナーだったりします。
攻撃ツールとして利用できる状態に仕立てたCobalt Strikeを配布するものもありました。

特定の脆弱性が実際に悪用可能な状態であるのかを調べようとするとき、こういった公開されたPoCコードは非常に参考になる情報です。
こういった公開された情報を読むことは危険ではないと思われますが、公開されたものを入手して動作させることは大きな危険を伴います。
自分は調査者や学習者だと思っていたらいつの間にか被害者になっていたなんていうことがないようにしたいものです。

参考記事（外部リンク）：Thousands of GitHub repositories deliver fake PoC exploits
with malware
www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/