Повсеместное распространение GitHub в средах информационных технологий (ИТ) сделало его выгодным выбором для субъектов угроз для размещения и доставки вредоносных полезных нагрузок, а также в качестве средств обнаружения тайников, пунктов командования и контроля и утечки данных.
"Использование сервисов GitHub для вредоносной инфраструктуры позволяет злоумышленникам сливаться с законным сетевым трафиком, часто обходя традиционные средства защиты и затрудняя отслеживание восходящей инфраструктуры и атрибуцию участников", - говорится в отчете Recorded Future, опубликованном The Hacker News.
Компания по кибербезопасности описала этот подход как "проживание вне надежных сайтов" (LOTS), что является продолжением методов "проживания вне земли" (LotL), часто используемых субъектами угроз для сокрытия мошеннической деятельности и оставления незамеченными.
Заметный из методов, с помощью которых GitHub злоупотребляют относится к доставке полезной нагрузки, при этом некоторые участники используют его возможности для обфускации командования и управления (C2). В прошлом месяце ReversingLabs подробно описала ряд поддельных пакетов Python, которые использовали секретный gist, размещенный на GitHub, для получения вредоносных команд на скомпрометированных хостах.
Хотя полноценные реализации C2 в GitHub встречаются редко по сравнению с другими инфраструктурными схемами, его использование участниками угроз в качестве средства обнаружения тайников, при котором информация из репозитория GitHub, контролируемого участниками, используется для получения фактического URL-адреса C2, намного более распространено, о чем свидетельствует случай с такими вредоносными программами, как Drokbk и ShellBox.
Также редко наблюдается злоупотребление GitHub для фильтрации данных, что, согласно записям в будущем, вероятно, связано с размером файла и ограничениями хранилища, а также опасениями по поводу возможности обнаружения.
Помимо этих четырех основных схем, предложения платформы используются различными другими способами для достижения целей, связанных с инфраструктурой. Например, страницы GitHub использовались в качестве фишинговых хостов или средств перенаправления трафика, при этом в некоторых кампаниях репозиторий GitHub использовался в качестве резервного канала C2.
Развитие событий свидетельствует о более широкой тенденции использования субъектами угроз законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello и Discord. Это также относится к другим платформам исходного кода и контроля версий, таким как GitLab, BitBucket и Codeberg.
"Универсального решения для обнаружения злоупотреблений GitHub не существует", - заявили в компании. "Необходимо сочетание стратегий обнаружения, на которые влияют конкретные среды и факторы, такие как доступность журналов, организационная структура, шаблоны использования сервисов и устойчивость к риску, среди прочего".
"Использование сервисов GitHub для вредоносной инфраструктуры позволяет злоумышленникам сливаться с законным сетевым трафиком, часто обходя традиционные средства защиты и затрудняя отслеживание восходящей инфраструктуры и атрибуцию участников", - говорится в отчете Recorded Future, опубликованном The Hacker News.
Компания по кибербезопасности описала этот подход как "проживание вне надежных сайтов" (LOTS), что является продолжением методов "проживания вне земли" (LotL), часто используемых субъектами угроз для сокрытия мошеннической деятельности и оставления незамеченными.
Заметный из методов, с помощью которых GitHub злоупотребляют относится к доставке полезной нагрузки, при этом некоторые участники используют его возможности для обфускации командования и управления (C2). В прошлом месяце ReversingLabs подробно описала ряд поддельных пакетов Python, которые использовали секретный gist, размещенный на GitHub, для получения вредоносных команд на скомпрометированных хостах.
Хотя полноценные реализации C2 в GitHub встречаются редко по сравнению с другими инфраструктурными схемами, его использование участниками угроз в качестве средства обнаружения тайников, при котором информация из репозитория GitHub, контролируемого участниками, используется для получения фактического URL-адреса C2, намного более распространено, о чем свидетельствует случай с такими вредоносными программами, как Drokbk и ShellBox.
Также редко наблюдается злоупотребление GitHub для фильтрации данных, что, согласно записям в будущем, вероятно, связано с размером файла и ограничениями хранилища, а также опасениями по поводу возможности обнаружения.
Помимо этих четырех основных схем, предложения платформы используются различными другими способами для достижения целей, связанных с инфраструктурой. Например, страницы GitHub использовались в качестве фишинговых хостов или средств перенаправления трафика, при этом в некоторых кампаниях репозиторий GitHub использовался в качестве резервного канала C2.
Развитие событий свидетельствует о более широкой тенденции использования субъектами угроз законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello и Discord. Это также относится к другим платформам исходного кода и контроля версий, таким как GitLab, BitBucket и Codeberg.
"Универсального решения для обнаружения злоупотреблений GitHub не существует", - заявили в компании. "Необходимо сочетание стратегий обнаружения, на которые влияют конкретные среды и факторы, такие как доступность журналов, организационная структура, шаблоны использования сервисов и устойчивость к риску, среди прочего".
