Detektálás elkerülése és C2 GitHub-on keresztül
A fenyegetési szereplők egyre gyakrabban használják a GitHubot rosszindulatú célokra, illetve, hogy elkerüljék a felderítést és irányítsák a kompromittált hosztokat. Újszerű módszereket alkalmaznak, többek között a titkos Gistekkel való visszaélést és a git commit üzeneteken keresztül rosszindulatú parancsok kiadását. “A kártékony kódok fejlesztői időnként olyan szolgáltatásokban helyezik el mintáikat, mint a Dropbox, a Google Drive, a OneDrive és a Discord, hogy második fázisú rosszindulatú programokat fogadjanak és megkerüljék a felderítő eszközöket” – mondta Karlo Zanki, a ReversingLabs kutatója. Az utóbbi időben azonban megfigyelték a kutatók, hogy a GitHub nyílt forráskódú fejlesztői platformot egyre gyakrabban használják a fenyegetési szereplők rosszindulatú programok tárolására”.
A legitim publikus szolgáltatásokról ismert, hogy a fenyegetési szereplők rosszindulatú programok tárolására használják őket, és dead drop resolverként működnek a tényleges C2 címek lekérdezéséhez. Ezeknek a szolgáltatások – bár nem teszi őket immunissá a lekapcsolásokkal szemben – az előnyük, hogy a fenyegetési szereplők könnyen létrehozhatnak egy olcsó és megbízható támadási infrastruktúrát. Ez a technika lehetővé teszi a fenyegetési szereplők számára, hogy rosszindulatú hálózati forgalmukat összekeverjék a valódi, nem kártékony kommunikációval egy kompromittált hálózaton belül, ami megnehezíti a fenyegetések hatékony észlelését és az azokra való reagálást. Ennek eredményeképpen kisebb az esélye annak, hogy egy GitHub-tárhellyel kommunikáló fertőzött végpontot gyanúsnak jelölnek meg. A GitHub gistekkel való visszaélés ennek a trendnek a fejlődésére utal. A gist-ek (amelyek nem mások, mint maguk a repository-k) egyszerű módot kínálnak a fejlesztőknek arra, hogy kódrészleteket osszanak meg másokkal. A a nyilvános gist-ek a GitHub Discover feedjében jelennek meg, míg a titkos gist-ek, bár a Discover-en keresztül nem érhetők el, az URL megosztásával megoszthatók másokkal. A titkos gistek érdekessége, hogy nem jelennek meg a szerző GitHub-profiloldalán, ami lehetővé teszi a fenyegetési szereplők számára, hogy egyfajta pastebin szolgáltatásként használják ki őket.
A ReversingLabs elmondása szerint több PyPI csomagot azonosítottak – nevezetesen a httprequesthub, pyhttpproxifier, libsock, libproxy és libsocks5 csomagokat -, amelyek hálózati proxy kezelését szolgáló könyvtáraknak álcázták magukat, de egy Base64-kódolt URL-t tartalmaztak, amely egy titkos gistre mutatott, amelyet egy eldobható GitHub fiókban tároltak, nyilvános projektek nélkül.