Бесплатно Экспресс-аудит сайта:

26.01.2021

Исследователь запустил сайт для публикации уязвимостей в вредоносном ПО

Исследователь безопасности Джон Пейдж (John Page) запустил web-портал для публикации уязвимостей в коде распространенных вредоносных программ. Пейдж надеется, что другие ИБ-специалисты будут использовать их для отключения и удаления вредоносного ПО с зараженных систем в рамках операций по реагированию на инциденты безопасности.

Сайт MalVuln (malvuln.com) является типичным порталом для раскрытия уязвимостей. Как и на других подобных ресурсах, на нем представлены названия программ (в данном случае вредоносных), подробные технические описания уязвимостей и PoC-эксплоиты, чтобы исследователи могли проэксплуатировать эти уязвимости.

В настоящее время на MalVuln опубликованы подробности о 45 уязвимостях, обнаруженных самим Пейджем. Некоторые из них присутствуют в новых вредоносных программах наподобие Phorpiex (Trik), а некоторые – в старых, таких как Bayrob. Другие исследователи пока не добавляли на портал свои описания, и сейчас Пейдж их не принимает. Тем не менее, на сайте опубликован ключ PGP, и в планах Пейджа в будущем принимать отчеты об уязвимостях от других баг хантеров.

Помимо прочего, запуск MalVuln затрагивает весьма щекотливую тему в сфере ИБ. В течение не одного десятка лет ИБ-эксперты проводили ответные операции против вредоносного ПО в полной секретности. С помощью обнаруженных в вредоносном коде уязвимостей исследователи проникают в инфраструктуру киберпреступников, взламывают C&C-серверы, чтобы получить информацию о жертвах, или используют уязвимости в вредоносном ПО, чтобы отключить его и удалить с зараженного хоста.

Вышеописанные практики держатся в секрете из-за возможных юридических последствий. Кроме того, не зная об эксплуатации уязвимостей в их программах, киберпреступники не исправляют их, и ИБ-эксперты могут продолжают ими пользоваться. Поэтому неудивительно, что далеко не все исследователи с радостью восприняли запуск MalVuln в начале этого месяца. По мнению некоторых ИБ-экспертов, портал косвенно помогает операторам вредоносных программ, указывая на уязвимости в их коде и эффективно лишая ИБ-компании и команды реагирования на инциденты ценных инструментов.

Самого Пейджа данный аспект совсем не волнует. По его мнению, запрещать публиковать уязвимости в вредоносном ПО – это то же самое, что утаивать уязвимости в легитимных программах, опасаясь эксплуатации их хакерами.