Зловредният софтуер намира неволен съюзник в GitHub

Това, че е на GitHub, не означава, че е легитимно. Финансово мотивирана шпионска група злоупотребява с хранилището на GitHub за комуникации C&C (командване и контрол), предупреди Trend Micro.

Изследователите установиха, че злонамерен софтуер, използван от Winnti, група, известна главно с насочване към онлайн индустрията за игри, се свързва с акаунт в GitHub, за да получи точното местоположение на своите C&C сървъри. Злонамереният софтуер потърси HTML страница, съхранена в проекта GitHub, за да получи криптиран низ, съдържащ IP адреса и номера на порта за C&C сървъра, пише изследователят на заплахи Trend Micro Седрик Пернет в блога на TrendLabs Security Intelligence. След това ще се свърже с този IP адрес и порт, за да получи допълнителни инструкции. Докато групата поддържаше HTML страницата актуализирана с най-новата информация за местоположението, зловредният софтуер щеше да може да намери и да се свърже със C&C сървър.

Акаунтът в GitHub съдържа 14 различни HTML файла, всички създадени по различно време, с препратки към близо две дузини комбинации от IP адреси и номера на портове. Имаше 12 IP адреса, но нападателите се въртяха между три различни номера на портове: 53 (DNS), 80 (HTTP) и 443 (HTTPS). Trend Micro разгледа първия и последния времеви клеймо за фиксиране в HTML файловете, за да определи, че информацията за C&C сървъра се публикува в проекта от 17 август 2016 г. до 12 март 2017 г.

Акаунтът в GitHub е създаден през май 2016 г., а единственото му хранилище, проект за мобилен телефон, е създадено през юни 2016 г. Изглежда, че проектът е получен от друга обща страница на GitHub. Trend Micro смята, че акаунтът е създаден от самите нападатели и не е отвлечен от първоначалния му собственик.

„Разкрихме частно своите открития пред GitHub преди тази публикация и активно работим с тях по тази заплаха“, каза Пернет. се обърна към GitHub за повече информация за проекта и ще актуализира с всички допълнителни подробности.

GitHub не е непознат да злоупотребява

Организациите може да не са веднага подозрителни, ако видят много мрежов трафик за акаунт в GitHub, което е добре за зловредния софтуер. Това също прави кампанията за атака по-устойчива, тъй като зловредният софтуер винаги може да получи най-новата информация за сървъра, дори ако оригиналният сървър бъде изключен от действия на правоприлагащите органи. Информацията за сървъра не е кодирана твърдо в зловредния софтуер, така че ще бъде по-трудно за изследователите да намерят C&C сървъри, ако попаднат само на злонамерения софтуер.

„Злоупотребата с популярни платформи като GitHub позволява на актьори на заплахи като Winnti да поддържат устойчивост на мрежата между компрометирани компютри и техните сървъри, като същевременно остават под радара“, каза Пернет.

GitHub е уведомен за проблемното хранилище, но това е сложна област, тъй като сайтът трябва да внимава как реагира на сигнали за злоупотреба. Явно не иска сайтът му да се използва от престъпници за предаване на зловреден софтуер или за извършване на други престъпления. Условията за услуга на GitHub са много ясни по отношение на това: "Не трябва да предавате никакви червеи или вируси или код с разрушителен характер."

Но също така не иска да прекрати законните изследвания в областта на сигурността или образователното развитие. Изходният код е инструмент и сам по себе си не може да се счита за добър или лош. Намерението на човека, който изпълнява кода, го прави полезен като проучване на сигурността или използвано в защита или злонамерено като част от атака.

Изходният код за ботнет Mirai, масивният ботнет на IoT зад поредицата осакатяващи разпределени атаки за отказ на услуга миналата есен, може да бъде намерен на GitHub. Всъщност множество проекти на GitHub хостват изходния код на Mirai и всеки от тях е означен като предназначен за „Цели на разработката на Research / IoC [Показатели за компромис]“.

Това предупреждение изглежда достатъчно за GitHub да не докосва проекта, въпреки че всеки вече може да използва кода и да създаде нов ботнет. Компанията не зависи от вземането на решения относно възможността изходният код да бъде злоупотребен, особено в случаите, когато първоначално изходният код трябва да бъде изтеглен, компилиран и преконфигуриран, преди да може да бъде използван злонамерено. Дори тогава той не сканира и не наблюдава хранилища, търсещи проекти, които се използват активно по вреден начин. GitHub разследва и действа въз основа на доклади от потребители.

Същите разсъждения се отнасят за проекти за рансъмуер EDA2 и Hidden Tear. Първоначално те са създадени като образователни доказателства за концепции и са публикувани в GitHub, но оттогава варианти на кода се използват при атаки на рансъмуер срещу предприятия.

Насоките на общността имат малко по-голяма представа за това как GitHub оценява потенциални проблемни проекти: "Да бъдеш част от общността означава да не се възползваш от други членове на общността. Не позволяваме на никого да използва нашата платформа за експлойт доставка, като хостинг на злонамерен изпълними файлове или като инфраструктура за атаки, например чрез организиране на атаки за отказ на услуга или управление на сървъри за командване и управление. Имайте предвид обаче, че не забраняваме публикуването на изходен код, който може да се използва за разработване на злонамерен софтуер или експлойти, като публикуването и разпространението на такъв изходен код има образователна стойност и осигурява нетна полза за общността за сигурност. "

Киберпрестъпниците отдавна разчитат на добре познати онлайн услуги, за да хостват злонамерен софтуер, за да подмамят жертвите, да пуснат сървъри за управление и контрол или да скрият злонамерената си дейност от защитата на защитата. Спамерите са използвали съкращаващи URL адреси, за да пренасочват жертвите към хитрушки и злонамерени сайтове, а нападателите са използвали Google Docs или Dropbox за създаване на фишинг страници. Злоупотребата с легитимни услуги прави предизвикателство за жертвите да разпознават атаки, но и за операторите на сайтове да разберат как да попречат на престъпниците да използват техните платформи.