Zlonamjerni softver pronalazi nesvjesnog saveznika u GitHubu

To što je na GitHub-u ne znači da je i legitimno. Financijski motivirana špijunska skupina zlostavlja GitHub-ovo spremište za C&C (zapovijedanje i kontrolu) komunikacije, upozorio je Trend Micro.

Istraživači su otkrili da se zlonamjerni softver koji je koristio Winnti, grupa uglavnom poznata po ciljanju industrije internetskih igara, povezivao s GitHub računom kako bi dobio točnu lokaciju svojih C&C poslužitelja. Zlonamjerni softver potražio je HTML stranicu pohranjenu u projektu GitHub kako bi dobio šifrirani niz koji sadrži IP adresu i broj porta za C&C poslužitelj, napisao je istraživač prijetnji Trend Micro Cedric Pernet na blogu TrendLabs Security Intelligence. Tada bi se povezao na tu IP adresu i priključak kako bi dobio daljnje upute. Sve dok je grupa redovito ažurirala HTML stranicu najnovijim informacijama o lokaciji, zlonamjerni softver mogao bi pronaći i povezati se s C&C poslužiteljem.

Račun GitHub sadržavao je 14 različitih HTML datoteka, koje su sve kreirane u različito vrijeme, s referencama na gotovo dva tuceta kombinacija IP adresa i brojeva priključaka. Bilo je 12 IP adresa, ali napadači su se okretali između tri različita broja porta: 53 (DNS), 80 (HTTP) i 443 (HTTPS). Trend Micro pregledao je prvu i posljednju vremensku oznaku urezivanja u HTML datotekama kako bi utvrdio da su podaci C&C poslužitelja objavljeni u projektu od 17. kolovoza 2016. do 12. ožujka 2017.

GitHub račun stvoren je u svibnju 2016., a njegovo jedino spremište, projekt mobilnog telefona, stvoreno je u lipnju 2016. Čini se da je projekt izveden s druge generičke GitHub stranice. Trend Micro vjeruje da su račun stvorili sami napadači i da ga nisu oteli izvornom vlasniku.

"Privatno smo otkrili svoja otkrića GitHubu prije ove publikacije i proaktivno surađujemo s njima u vezi s ovom prijetnjom", rekao je Pernet. kontaktirao je GitHub za više informacija o projektu i ažurirat će ga s dodatnim detaljima.

GitHub nije strano zloupotrijebiti

Organizacije možda neće odmah biti sumnjičave ako vide puno mrežnog prometa za GitHub račun, što je dobro za zlonamjerni softver. Također kampanju napada čini otpornijom, jer zlonamjerni softver uvijek može dobiti najnovije informacije o poslužitelju, čak i ako se izvorni poslužitelj zatvori radnjama provođenja zakona. Podaci o poslužitelju nisu čvrsto kodirani u zlonamjernom softveru, pa će istraživačima biti teže pronaći C&C poslužitelje ako naiđu samo na zlonamjerni softver.

"Zlouporaba popularnih platformi poput GitHub omogućava akterima prijetnji poput Winntija da održavaju postojanost mreže između ugroženih računala i njihovih poslužitelja, dok ostaju ispod radara", rekao je Pernet.

GitHub je obaviješten o problematičnom spremištu, ali ovo je nezgodno područje, jer web mjesto mora biti oprezno kako reagira na prijave zlouporabe. Očito ne želi da kriminalci koriste njegovu web stranicu za prijenos zlonamjernog softvera ili za počinjenje drugih zločina. Uvjeti pružanja usluge GitHub vrlo su jasni u vezi s tim: "Ne smijete prenositi nikakve crve ili viruse ili bilo koji kod destruktivne prirode."

Ali također ne želi ugasiti legitimna sigurnosna istraživanja ili razvoj obrazovanja. Izvorni kod je alat i ne može se sam smatrati dobrim ili lošim. Namjera osobe koja pokreće kôd čini ga korisnim kao sigurnosno istraživanje ili se koristi u obrani ili zlonamjerno kao dio napada.

Izvorni kod za Mirai botnet, masivnu IoT botnet koja stoji iza niza osakaćenih distribuiranih napada uskraćivanja usluge prošle jeseni, može se naći na GitHubu. U stvari, više GitHub projekata ugošćuje izvorni kod Mirai, a svaki je označen kao namijenjen za "Istraživanje / IoC [pokazatelji kompromisa] svrhe razvoja."

Čini se da je to upozorenje dovoljno da GitHub ne dira projekt, iako sada svi mogu koristiti kôd i stvoriti novu botnet. Tvrtka ne ovisi o odlučivanju o mogućnosti zlouporabe izvornog koda, posebno u slučajevima kada izvorni kod prvo treba preuzeti, sastaviti i ponovo konfigurirati prije nego što se zlonamjerno koristi. Čak i tada ne skenira i ne nadgleda spremišta u potrazi za projektima koji se aktivno koriste na štetan način. GitHub istražuje i djeluje na temelju izvješća korisnika.

Isto se obrazloženje odnosi na ransomware projekte EDA2 i Hidden Tear. Izvorno su stvoreni kao dokaz o konceptima obrazovanja i objavljeni na GitHubu, ali od tada se varijacije koda koriste u napadima ransomware-a na poduzeća.

Smjernice zajednice imaju malo više uvida u to kako GitHub procjenjuje potencijalne problematične projekte: "Biti dio zajednice znači ne iskorištavati druge članove zajednice. Ne dopuštamo nikome da koristi našu platformu za iskorištavanje, poput hostiranja zlonamjernih programa izvršne datoteke ili kao napadačka infrastruktura, na primjer organiziranjem napada uskraćivanja usluge ili upravljanjem naredbenim i kontrolnim poslužiteljima. Međutim, imajte na umu da ne zabranjujemo objavljivanje izvornog koda koji bi se mogao koristiti za razvoj zlonamjernog softvera ili iskorištavanja, kao objavljivanje i distribucija takvog izvornog koda ima obrazovnu vrijednost i pruža neto korist sigurnosnoj zajednici. "

Kibernetski kriminalci već se dugo oslanjaju na poznate mrežne usluge za hostiranje zlonamjernog softvera kako bi prevarili žrtve, pokrenuli naredbe i upravljačke servere ili sakrili svoje zlonamjerne aktivnosti od sigurnosne obrane. Pošiljatelji neželjene pošte koristili su skraćivače URL-ova za preusmjeravanje žrtava na izmišljene i zlonamjerne web stranice, a napadači su koristili Google dokumente ili Dropbox za stvaranje phishing stranica. Zlouporaba legitimnih usluga predstavlja izazov za žrtve prepoznavanjem napada, ali i za operatore web lokacija da shvate kako spriječiti kriminalce da koriste njihove platforme.