Ohjelmointi

Haittaohjelma löytää tahattoman liittolaisen GitHubista

Se, että se on GitHubissa, ei tarkoita, että se on laillinen. Taloudellisesti motivoitunut vakoiluryhmä käyttää väärin GitHub-tietovarastoa C&C (komento ja hallinta) -viestinnässä, Trend Micro varoitti.

Tutkijat havaitsivat haittaohjelman, jota Winnti, ryhmä, joka tunnetaan pääasiassa verkkopeliteollisuudesta, oli yhteydessä GitHub-tiliin saadakseen tarkistus- ja palvelupalvelimiensa tarkan sijainnin. Haittaohjelma etsii GitHub-projektiin tallennetun HTML-sivun saadakseen salatun merkkijonon, joka sisältää C & C-palvelimen IP-osoitteen ja portin numeron, kirjoitti Trend Micro -uhkatutkija Cedric Pernet TrendLabs Security Intelligence -blogiin. Sitten se muodostaa yhteyden kyseiseen IP-osoitteeseen ja porttiin saadakseen lisäohjeita. Niin kauan kuin ryhmä pitää HTML-sivun ajan tasalla uusimmilla sijaintitiedoilla, haittaohjelma pystyy löytämään ja muodostamaan yhteyden palvelu- ja palvelupalvelimeen.

GitHub-tili sisälsi 14 erilaista HTML-tiedostoa, jotka kaikki luotiin eri aikoina, viittaamalla lähes kahteen tusinaan IP-osoitteen ja portin numeroyhdistelmiin. IP-osoitteita oli 12, mutta hyökkääjät vaihtelivat kolmen eri porttinumeron välillä: 53 (DNS), 80 (HTTP) ja 443 (HTTPS). Trend Micro tarkasteli HTML-tiedostojen ensimmäisiä ja viimeisiä sitoumuksen aikaleimoja selvittääkseen, että C & C-palvelintiedot lähetettiin projektiin 17. elokuuta 2016 - 12. maaliskuuta 2017.

GitHub-tili luotiin toukokuussa 2016, ja sen ainoa arkisto, matkapuhelinprojekti, luotiin kesäkuussa 2016. Projekti näyttää olevan johdettu toisesta yleisestä GitHub-sivusta. Trend Micro uskoo, että hyökkääjät ovat itse luoneet tilin, eikä sitä ole kaapattu sen alkuperäiseltä omistajalta.

"Olemme julkistaneet havainnot yksityisesti GitHubille ennen tätä julkaisua ja työskentelemme heidän kanssaan ennakoivasti tämän uhan torjumiseksi", Pernet sanoi. otti yhteyttä GitHubiin saadaksesi lisätietoja projektista ja päivittää mahdolliset lisätiedot.

GitHubille ei ole vieras väärinkäyttö

Organisaatiot eivät välttämättä ole välittömästi epäilyttäviä, jos he näkevät paljon verkkoliikennettä GitHub-tilille, mikä on hyvä haittaohjelmalle. Se tekee myös hyökkäyskampanjasta joustavamman, koska haittaohjelma voi aina hankkia viimeisimmät palvelintiedot, vaikka alkuperäinen palvelin sammutettaisiin lainvalvontatoimien avulla. Palvelintietoja ei ole koodattu haittaohjelmiin, joten tutkijoiden on vaikea löytää luokitus- ja palvelinpalvelimia, jos he törmäävät vain haittaohjelmaan.

"GitHubin kaltaisten suosittujen alustojen väärinkäyttö antaa Winnin kaltaisille uhka-toimijoille mahdollisuuden ylläpitää verkon pysyvyyttä vaarantuneiden tietokoneiden ja heidän palvelimiensa välillä ja pysyä tutkan alla", Pernet sanoi.

GitHubille on ilmoitettu ongelmallisesta arkistosta, mutta tämä on hankala alue, koska sivuston on oltava varovainen reagoidessaan väärinkäyttöilmoituksiin. Se ei selvästikään halua, että rikolliset käyttävät sivustoaan haittaohjelmien lähettämiseen tai muiden rikosten tekemiseen. GitHubin käyttöehdot ovat hyvin selkeät: "Et saa lähettää matoja tai viruksia tai mitään tuhoisaa koodia."

Mutta se ei myöskään halua sulkea laillista turvallisuustutkimusta tai koulutuksen kehittämistä. Lähdekoodi on työkalu, eikä sitä voida pitää hyvänä tai huonona yksinään. Koodia käyttävän henkilön tarkoitus on tehdä siitä hyödyllinen turvallisuustutkimuksena tai puolustuksessa käytettynä tai haitallisena osana hyökkäystä.

Mirai-botnetin, massiivisen IoT-botnet-lähdekoodin viime syksynä lamauttavien hajautettujen palvelunestohyökkäysten sarjan takana, löytyy GitHubista. Itse asiassa useissa GitHub-projekteissa isännöidään Mirai-lähdekoodia, ja kukin on merkitty tarkoitetuksi "Tutkimuksen / IoC: n [kompromissin indikaattorit] kehitystarkoituksiin".

Tämä varoitus näyttää riittävän, jotta GitHub ei kosketa projektia, vaikka kuka tahansa voi nyt käyttää koodia ja luoda uuden botnetin. Yritys ei sido päätöksentekoa mahdollisuuteen, että lähdekoodia voidaan käyttää väärin, varsinkin tapauksissa, joissa lähdekoodi on ensin ladattava, koottava ja määritettävä uudelleen ennen kuin sitä voidaan käyttää vahingollisesti. Silloinkin se ei skannaa tai seuraa arkistoja etsimällä aktiivisesti haitallisella tavalla käytettyjä projekteja. GitHub tutkii ja toimii käyttäjien raporttien perusteella.

Sama perustelu koskee lunnasohjelmaprojekteja EDA2 ja Hidden Tear. Ne luotiin alun perin koulutuskäsitteinä ja lähetettiin GitHubiin, mutta siitä lähtien koodin muunnelmia on käytetty yrityksille kohdistuvissa ransomware-hyökkäyksissä.

Yhteisön suuntaviivoissa on hieman enemmän tietoa siitä, miten GitHub arvioi mahdollisia ongelmallisia projekteja: "Yhteisöön kuuluminen tarkoittaa myös sitä, että ei hyödynnetä muita yhteisön jäseniä. Emme salli kenenkään käyttää alustaa hyödyntämiseen, kuten haitallisten isännöimiseen. suoritettavia tiedostoja tai hyökkäysinfrastruktuurina, esimerkiksi järjestämällä palvelunestohyökkäyksiä tai hallinnoimalla komento- ja ohjauspalvelimia. Huomaa kuitenkin, että emme kiellä lähdekoodin lähettämistä, jota voidaan käyttää haittaohjelmien tai hyödyntämisten kehittämiseen, julkaisuna ja tällaisen lähdekoodin jakelulla on koulutuksellista arvoa ja siitä on nettohyötyä turvallisuusyhteisölle. "

Verkkorikolliset ovat jo pitkään turvautuneet tunnettuihin verkkopalveluihin haittaohjelmien isännöimiseksi uhrien huijaamiseksi, komento- ja hallintapalvelimien hallitsemiseksi tai piilottamiseksi haitallisista toimistaan ​​tietoturvasuojauksilta. Roskapostittajat ovat käyttäneet URL-osoitteiden lyhentimiä ohjatakseen uhrit kiusallisille ja haitallisille sivustoille, ja hyökkääjät ovat käyttäneet Google-dokumentteja tai Dropboxia tietojenkalastelusivujen luomiseen. Laillisten palvelujen väärinkäyttö tekee uhreille haastavan hyökkäysten tunnistamisen, mutta myös sivustojen ylläpitäjien selvittää, kuinka estää rikollisia käyttämästä heidän alustojaan.