Programmēšana

Ļaunprātīga programmatūra GitHub atrod neapzinātu sabiedroto

Tas, ka tas ir GitHub, nenozīmē, ka tas ir likumīgs. Finansiāli motivēta spiegošanas grupa ļaunprātīgi izmanto GitHub repozitoriju C&C (komandu un kontroles) sakariem, brīdināja Trend Micro.

Pētnieki atklāja, ka ļaunprātīga programmatūra, ko izmantoja Winnti, grupa, kas galvenokārt pazīstama ar mērķauditoriju tiešsaistes spēļu nozarē, izveidoja savienojumu ar GitHub kontu, lai iegūtu precīzu C&C serveru atrašanās vietu. Ļaunprātīgā programmatūra uzmeklēja GitHub projektā glabātu HTML lapu, lai iegūtu šifrētu virkni, kas satur C un C servera IP adresi un porta numuru, rakstīja Trend Micro draudu pētnieks Cedric Pernet TrendLabs Security Intelligence emuārā. Pēc tam tā izveidos savienojumu ar šo IP adresi un portu, lai saņemtu papildu norādījumus. Kamēr grupa atjaunina HTML lapu ar jaunāko informāciju par atrašanās vietu, ļaunprogrammatūra spēs atrast un izveidot savienojumu ar C&C serveri.

GitHub kontā bija 14 dažādi HTML faili, kas visi tika izveidoti dažādos laikos, ar atsaucēm uz gandrīz diviem desmitiem IP adrešu un porta numuru kombinācijām. Bija 12 IP adreses, taču uzbrucēji mainījās starp trim dažādiem porta numuriem: 53 (DNS), 80 (HTTP) un 443 (HTTPS). Trend Micro apskatīja pirmās un pēdējās HTML failu izdarīšanas laikspiedolus, lai noteiktu, vai C&C servera informācija tika ievietota projektā no 2016. gada 17. augusta līdz 2017. gada 12. martam.

GitHub konts tika izveidots 2016. gada maijā, un tā vienīgais krātuve - mobilo tālruņu projekts - tika izveidots 2016. gada jūnijā. Šķiet, ka projekts ir iegūts no citas vispārīgas GitHub lapas. Trend Micro uzskata, ka kontu ir izveidojuši paši uzbrucēji un tas nav nolaupīts no tā sākotnējā īpašnieka.

"Mēs esam privāti atklājuši savus atklājumus GitHub pirms šīs publikācijas un aktīvi sadarbojamies ar viņiem par šiem draudiem," sacīja Pernets. sazinājās ar GitHub, lai iegūtu vairāk informācijas par projektu, un tiks atjaunināts ar jebkādu papildu informāciju.

GitHub nav svešs ļaunprātīgas izmantošanas veids

Organizācijas var nebūt uzreiz aizdomīgas, ja GitHub kontā redz lielu tīkla trafiku, kas ir noderīgs ļaunprātīgai programmatūrai. Tas arī padara uzbrukuma kampaņu izturīgāku, jo ļaunprātīgā programmatūra vienmēr var iegūt jaunāko servera informāciju, pat ja sākotnējais serveris tiek slēgts ar tiesībaizsardzības darbību palīdzību. Informācija par serveri ļaunprogrammatūrā nav kodēta, tāpēc pētniekiem būs grūtāk atrast C&C serverus, ja viņi sastopas tikai ar ļaunprātīgu programmatūru.

"Tādu populāru platformu kā GitHub ļaunprātīga izmantošana ļauj draudu dalībniekiem, piemēram, Winnti, saglabāt tīkla noturību starp apdraudētiem datoriem un to serveriem, vienlaikus paliekot zem radara," sacīja Pernets.

GitHub ir paziņots par problemātisko krātuvi, taču tā ir grūts apgabals, jo vietnei jābūt uzmanīgai, reaģējot uz ziņojumiem par ļaunprātīgu izmantošanu. Tā nepārprotami nevēlas, lai noziedznieki to izmantotu, lai pārsūtītu ļaunprātīgu programmatūru vai izdarītu citus noziegumus. GitHub pakalpojumu sniegšanas noteikumi ir ļoti skaidri izteikti: "Jūs nedrīkstat pārnēsāt nekādus tārpus vai vīrusus, kā arī nekādus postošus kodus."

Bet tas arī nevēlas apturēt likumīgu drošības izpēti vai izglītības attīstību. Pirmkods ir rīks, un to atsevišķi nevar uzskatīt par labu vai sliktu. Tas ir personas nolūks, kas darbojas ar kodu, padara to par izdevīgu kā drošības izpēti vai izmanto aizsardzībā vai ir ļaunprātīgs kā uzbrukuma sastāvdaļa.

Mirai robottīkla avots, masveida IoT robottīkls, kas atrodas pagājušā gada rudenī sagraujošo izplatīto pakalpojumu atteikuma uzbrukumu sērijā, ir atrodams vietnē GitHub. Faktiski vairākos GitHub projektos tiek izmantots Mirai avota kods, un katrs no tiem ir atzīmēts kā paredzēts "Pētniecības / IoC [Kompromisa rādītāji] attīstības mērķiem".

Šis brīdinājums, šķiet, ir pietiekams, lai GitHub nepieskartos projektam, lai gan ikviens tagad var izmantot kodu un izveidot jaunu robottīklu. Uzņēmums nepieņem lēmumu pieņemšanu par iespēju, ka pirmkodu var izmantot nepareizi, it īpaši gadījumos, kad pirmkods vispirms ir jālejupielādē, jāapkopo un jāpārkonfigurē, pirms to var izmantot ļaunprātīgi. Pat tad tā neskenē un neuzrauga krātuves, meklējot projektus, kas aktīvi tiek izmantoti kaitīgā veidā. GitHub izmeklē un rīkojas, pamatojoties uz lietotāju ziņojumiem.

Tas pats pamatojums attiecas uz izpirkuma programmatūras projektiem EDA2 un Hidden Tear. Sākotnēji tie tika izveidoti kā izglītības koncepcijas un ievietoti vietnē GitHub, taču kopš tā laika koda variācijas tiek izmantotas izpirkuma programmatūras uzbrukumos uzņēmumiem.

Kopienas vadlīnijās ir nedaudz vairāk ieskatu par to, kā GitHub novērtē potenciālos problemātiskos projektus: "Piedalīšanās kopienā ietver arī to, ka neizmantojat citus kopienas locekļus. Mēs neļaujam nevienam izmantot mūsu platformu piegādes izmantošanai, piemēram, ļaunprātīgas vietnes mitināšanai izpildāmos failus vai kā uzbrukuma infrastruktūru, piemēram, organizējot pakalpojumu noliegšanas uzbrukumus vai pārvaldot komandu un vadības serverus. Tomēr ņemiet vērā, ka mēs neaizliedzam izlikt avota kodu, ko varētu izmantot ļaunprātīgas programmatūras izstrādei vai izmantošanai, jo publikācija un šāda avota koda izplatīšanai ir izglītojoša vērtība, un tā sniedz tīru labumu drošības sabiedrībai. "

Kibernoziedznieki jau sen ir paļāvušies uz labi zināmiem tiešsaistes pakalpojumiem, lai mitinātu ļaunprātīgu programmatūru, lai apkrāptu upurus, palaistu komandu un vadības serverus vai slēptu savas ļaunprātīgās darbības no drošības aizsardzības. Surogātpasta izplatītāji ir izmantojuši URL saīsinātājus, lai novirzītu upurus uz dumjām un ļaunprātīgām vietnēm, un uzbrucēji ir izmantojuši Google dokumentus vai Dropbox, lai izveidotu pikšķerēšanas lapas. Likumīgu pakalpojumu ļaunprātīga izmantošana upuriem rada grūtības atpazīt uzbrukumus, bet arī vietņu operatoriem izdomāt, kā novērst noziedzniekus no viņu platformu izmantošanas.

$config[zx-auto] not found$config[zx-overlay] not found