Araştırmacılar, ikinci aşama kötü amaçlı yazılımları barındırmak için sitenin iki benzersiz özelliğini kötüye kullanan bir GitHub hesabıyla karşılaştılar.
Bilgisayar korsanları, kamu hizmetlerini suçlarının merkezi olarak giderek daha fazla kullanıyorlar. kötü amaçlı yazılımların genel kod depolarında barındırılması veya dosya paylaşım hizmetleri ve mesajlaşma uygulamalarından komut ve kontrol (C2) gerçekleştirme. Bazen hizmet olarak yazılım (SaaS) platformlarını kullanarak daha da yaratıcı olabiliyorlar. asla tahmin edemeyeceğiniz yollar.
Bu geleneği sürdüren kişi, birden fazla kötü amaçlı paketle bağlantılı olan yeremyvalidslov2342 (bundan böyle “Yeremy”)dir. 19 Aralık’ta ReversingLabs tarafından belirlendi. Yükleri hem site yöneticilerinin hem de kurbanların üzerinden gizlice gizlemek için Yeremy’nin paketleri, daha önce kullanılmayan iki GitHub özelliği kullanılarak gizlendi: “gist” ve taahhütler.
Siber Kazanç İçin GitHub’u Kötüye Kullanmanın Yeni Yolları
Siber suçluların genel kod depolarını kötüye kullanmalarının en yaygın yolu, kötü amaçlı dosyalarını tek kullanımlık hesaplara yayınlamaktır. Yöneticiler bu tür hesapları tespit edilir edilmez tespit etmeye ve kaldırmaya çalıştığından, bu açık ama kaba bir davranıştır.
Yeremy daha dolambaçlı bir yaklaşım benimsedi ve önce Python Paket Dizini’nde (PyPI) bir dizi paket yayınladı. sıklıkla kötüye kullanılan bir repo. Paketler, ağ proxy’sini yönetmeye yönelik dürüst kitaplıklar olarak sunuldu, ancak kurulum dosyalarının içinde, gizli bir GitHub “özünü” işaret eden bir URL’yi gizleyen Base64 kodlu bir dize bulunuyordu.
Gist’ler, Git depolarının bir tür basit sürümüdür; kodlayıcıların etraflarındaki tüm projeleri kurmalarına gerek kalmadan kod parçacıklarını saklamalarına ve paylaşmalarına olanak sağlamak için tasarlanmıştır. Bunlar herkese açık veya “gizli” olabilir: daha geniş halktan gizlenir ve aranamaz, ancak yine de arkadaşlar ve meslektaşlarla paylaşılabilir.
PyPI paketlerinin içindeki gizli esas, ikinci aşama kötü amaçlı yazılım içeriyordu. Araştırmacılar, bu tür bir amaç için özlerin yalnızca bir başka kullanımını bulabildiler; Slack arka kapısına ilişkin 2019 Trend Micro raporu.
Yeremy ayrıca kötü amaçlı bir kurulum dosyasıyla başka bir PyPI paketine de bağlandı. Bu kez yürütüldüğünde paket, GitHub’dan mevcut ve büyük olasılıkla meşru bir PySocks projesini klonladı. Bu durumda kötü amaçlı yazılım, deponun içinde olmak yerine onu açıklayan taahhüt mesajının içine gizlenmişti.
Kamu Hizmetleri Bilgisayar Korsanlarına Nasıl Yardımcı Olur?
Siber saldırıları kendi altyapısından gerçekleştirmek, hesap kapatmalara karşı belirli bir düzeyde dayanıklılık sağlar, ancak paylaşılan ve açık kaynak kaynaklarını kullanmanın gizlilik avantajı vardır.
Salı günkü raporun yazarı Karlo Zanki, “Bazı kötü amaçlı yazılım yazarları tespit edilmekten korkuyor” diyor. Ancak şunu da ekliyor: “Kötü amaçlı kod uygun şekilde gizlenirse, kamu hizmetleri onu tespit etmede o kadar iyi olamaz.”
“Npm ve PyPI gibi paket depoları binlerce günlük paket alıyor” diye devam ediyor, “ve bunları izlemenin ve analiz etmenin kolay bir yolu yok. Bazı depolar geleneksel antivirüs çözümleriyle tarama yapıyor, ancak çoğu zaman kötü amaçlı paketler bu temelleri aşıyor Savunmalar. Dolayısıyla sınırlı kaynaklara sahipler ve yayınlanan her şeyi güvenli hale getirmek için para veya motivasyona sahip olmaları pek olası değil. Kendilerini korumak bu paketlerin kullanıcılarına kalmış.”
Kamu yazılım hizmetleri aynı zamanda kötü adamlar için bir dizi ekstra avantaj da sunuyor. Popüler bir web sitesinde hesap oluşturmak, geleneksel altyapıyı ayarlamaktan daha hızlı, daha kolay ve daha ucuzdur. Siteyi destekleyen şirket bakım ve çalışma süresini yönetir ve genellikle çok güvenilirdirler. Popüler sitelere gelen trafik, uzak ülkelerdeki bilinmeyen sunuculara giden trafiğe kıyasla çok daha az şüphe uyandırır. Ayrıca, kötü niyetli bir hesap kapatılırsa bunun ne zararı olur? Sadece yeni bir tane yaratın.
Zanki şu sonuca varıyor: “Kötü niyetli bir aktör olsaydım kesinlikle kendi altyapımı işletmek için zamanımı harcamazdım.”