Programmering

Malware finder ubevidst allieret i GitHub

Bare fordi det er på GitHub betyder det ikke, at det er legitimt. Trend Micro advarede om, at en økonomisk motiveret spionagegruppe misbruger et GitHub-lager til C&C (kommando og kontrol) -kommunikation.

Forskere fandt, at malware, der blev brugt af Winnti, en gruppe, der hovedsagelig er kendt for at målrette online-spilindustrien, oprettede forbindelse til en GitHub-konto for at få den nøjagtige placering af sine C & C-servere. Malwaren slog op på en HTML-side, der er gemt i GitHub-projektet for at hente den krypterede streng, der indeholder IP-adressen og portnummeret til C&C-serveren, skrev Trend Micro-trusselforsker Cedric Pernet på TrendLabs Security Intelligence-blog. Derefter oprettes forbindelse til den IP-adresse og port for at modtage yderligere instruktioner. Så længe gruppen holdt HTML-siden opdateret med de nyeste placeringsoplysninger, ville malware være i stand til at finde og oprette forbindelse til C&C-serveren.

GitHub-kontoen indeholdt 14 forskellige HTML-filer, alle oprettet som forskellige tidspunkter med henvisninger til næsten to dusin IP-adresse og portnummerkombinationer. Der var 12 IP-adresser, men angriberne roterede mellem tre forskellige portnumre: 53 (DNS), 80 (HTTP) og 443 (HTTPS). Trend Micro kiggede på de første og sidste forpligtelses-tidsstempler på HTML-filerne for at bestemme, at C&C-serveroplysninger blev sendt til projektet fra 17. august 2016 til 12. marts 2017.

GitHub-kontoen blev oprettet i maj 2016, og dens eneste lager, mobiltelefon-projekt, blev oprettet i juni 2016. Projektet ser ud til at stamme fra en anden generisk GitHub-side. Trend Micro mener, at kontoen blev oprettet af angribere selv og ikke kapret fra den oprindelige ejer.

"Vi har offentliggjort vores resultater til GitHub forud for denne publikation og arbejder proaktivt med dem om denne trussel," sagde Pernet. nåede ud til GitHub for at få flere oplysninger om projektet og opdateres med yderligere oplysninger.

GitHub er ikke fremmed for misbrug

Organisationer er muligvis ikke umiddelbart mistænkelige, hvis de ser masser af netværkstrafik til en GitHub-konto, hvilket er godt for malware. Det gør også angrebskampagnen mere modstandsdygtig, da malware altid kan få de nyeste serveroplysninger, selvom den oprindelige server lukkes ned af retshåndhævende handlinger. Serveroplysningerne er ikke hårdkodede i malware, så det vil være sværere for forskere at finde C & C-servere, hvis de kun støder på malware.

"Misbrug af populære platforme som GitHub gør det muligt for trusselaktører som Winnti at opretholde netværksudholdenhed mellem kompromitterede computere og deres servere, mens de forbliver under radaren," sagde Pernet.

GitHub er blevet underrettet om det problematiske lager, men dette er et vanskeligt område, da webstedet skal være forsigtig med, hvordan det reagerer på rapporter om misbrug. Det vil tydeligvis ikke have sit websted brugt af kriminelle til at overføre malware eller begå andre forbrydelser. GitHub-servicevilkårene er meget klare på det: "Du må ikke overføre orme eller vira eller nogen kode af destruktiv karakter."

Men det vil heller ikke lukke legitim sikkerhedsforskning eller uddannelsesmæssig udvikling. Kildekode er et værktøj, og det kan ikke betragtes som godt eller dårligt alene. Det er hensigten med den person, der kører koden, der gør den gavnlig, som sikkerhedsundersøgelse eller brugt til forsvar eller skadelig som en del af et angreb.

Kildekoden til Mirai botnet, det massive IoT-botnet bag serien med lammende distribuerede denial-of-service-angreb sidste efterår, kan findes på GitHub. Faktisk er flere GitHub-projekter vært for Mirai-kildekoden, og hver er markeret som beregnet til "Research / IoC [Indicators of Compromise] Development Purposes."

Denne advarsel ser ud til at være nok for GitHub til ikke at røre ved projektet, selvom alle nu kan bruge koden og oprette et nyt botnet. Virksomheden hænger ikke sin beslutning om muligheden for, at kildekoden kan misbruges, især i tilfælde, hvor kildekoden først skal downloades, kompileres og omkonfigureres, før den kan bruges skadeligt. Selv da scanner eller overvåger den ikke arkiver, der leder efter projekter, der aktivt bruges på en skadelig måde. GitHub undersøger og handler ud fra rapporter fra brugere.

Den samme begrundelse gælder for ransomwareprojekter EDA2 og Hidden Tear. De blev oprindeligt oprettet som uddannelsesbeviser for begreber og sendt på GitHub, men siden da er variationer af koden blevet brugt i ransomware-angreb mod virksomheder.

Fællesskabsretningslinjerne har lidt mere indsigt i, hvordan GitHub evaluerer potentielle problematiske projekter: "At være en del af et samfund inkluderer ikke at drage fordel af andre medlemmer af samfundet. Vi tillader ikke nogen at bruge vores platform til at udnytte levering, såsom hosting af ondsindet eksekverbare filer eller som angrebsinfrastruktur, f.eks. ved at organisere denial of service-angreb eller styre kommando- og kontrolservere. Bemærk dog, at vi ikke forbyder udstationering af kildekode, der kan bruges til at udvikle malware eller udnyttelse, som offentliggørelse distribution af en sådan kildekode har uddannelsesmæssig værdi og giver en nettofordel for sikkerhedsfællesskabet. "

Cyberkriminelle har længe været afhængige af kendte onlinetjenester til at være vært for malware for at narre ofre, køre kommando-og-kontrol-servere eller skjule deres ondsindede aktiviteter fra sikkerhedsforsvar. Spammere har brugt URL-forkortelser til at omdirigere ofre til risikable og ondsindede websteder, og angribere har brugt Google Docs eller Dropbox til at oprette phishing-sider. Misbrug af legitime tjenester gør det udfordrende for ofrene at genkende angreb, men også for webstedsoperatører at finde ud af, hvordan de kan forhindre kriminelle i at bruge deres platforme.