GitHub’ın bilgi teknolojisi (BT) ortamlarında her yerde bulunması, tehdit aktörlerinin kötü amaçlı yükleri barındırması ve dağıtması ve bunun gibi davranması için onu kazançlı bir seçim haline getirdi. ölü damla çözümleyicilerkomuta ve kontrol ve veri sızma noktaları.
Recorded Future, “GitHub hizmetlerinin kötü amaçlı altyapı için kullanılması, genellikle geleneksel güvenlik savunmalarını atlayarak ve yukarı akış altyapı takibini ve aktör ilişkilendirmesini daha zor hale getirerek, saldırganların meşru ağ trafiğine karışmasına olanak tanır.” söz konusu The Hacker News ile paylaşılan bir raporda.
Siber güvenlik firması, yaklaşımı “güvenilir siteler dışında yaşayan siteler” (LOTS) olarak tanımladı; bu, tehdit aktörlerinin genellikle hileli faaliyetleri gizlemek ve radarın altından geçmek için benimsediği karadan uzakta yaşama (LotL) tekniklerinin bir versiyonu.
GitHub’un kötüye kullanıldığı yöntemler arasında öne çıkıyor ilgilidir yüke teslimat, bazı aktörler komuta ve kontrol (C2) gizlemesi için özelliklerinden yararlanıyor. Geçen ay ReversingLabs, güvenliği ihlal edilmiş ana bilgisayarlardan kötü amaçlı komutlar almak için GitHub’da barındırılan gizli bir öze dayanan bir dizi hileli Python paketini ayrıntılı olarak açıklamıştı.
Sırasında tam teşekküllü GitHub’daki C2 uygulamaları, diğer altyapı planlarıyla karşılaştırıldığında nadirdir; tehdit aktörleri tarafından ölü bırakma çözümleyicisi olarak kullanımı (aktör kontrollü bir GitHub deposundan gelen bilgilerin gerçek C2 URL’sini elde etmek için kullanıldığı) çok daha yaygındır, çünkü Drokbk ve ShellBox gibi kötü amaçlı yazılımlarda kanıtlanmıştır.
Ayrıca nadiren gözlemlenen GitHub’un kötüye kullanılması Kaydedilen Gelecek’e göre muhtemelen dosya boyutu ve depolama sınırlamaları ve keşfedilebilirlik endişelerinden kaynaklanan veri sızıntısı için.
Bu dört ana planın dışında platformun sunduğu olanaklar, altyapıyla ilgili amaçların karşılanması amacıyla çeşitli şekillerde de kullanıma sunuluyor. Örneğin GitHub Sayfaları şu şekilde kullanılmıştır: Kimlik avı ana bilgisayarları veya trafik yeniden yönlendiricileribazı kampanyalar GitHub deposunu kullanıyor C2 kanalını yedekle.
Bu gelişme, Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello ve Discord gibi meşru internet hizmetlerinin tehdit aktörleri tarafından istismar edildiğine dair daha geniş bir eğilime işaret ediyor. Bu aynı zamanda GitLab, BitBucket ve Codeberg gibi diğer kaynak kodu ve sürüm kontrol platformlarını da içerir.
Şirket, “GitHub kötüye kullanımın tespiti için evrensel bir çözüm yok” dedi. “Diğerlerinin yanı sıra günlüklerin kullanılabilirliği, organizasyon yapısı, hizmet kullanım kalıpları ve risk toleransı gibi belirli ortamlardan ve faktörlerden etkilenen bir algılama stratejileri karışımına ihtiyaç vardır.”