Σύμφωνα με τον ερευνητή της ReversingLabs, Karlo Zanki, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο το GitHub για κακόβουλους σκοπούς.
“Οι δημιουργοί κακόβουλου λογισμικού τοποθετούν περιστασιακά τα δείγματά τους σε υπηρεσίες όπως το Dropbox, το Google Drive, το OneDrive και το Discord για να φιλοξενήσουν second stage malware και να αποφύγουν την ανίχνευση“, δήλωσε ο ερευνητής.
Ωστόσο, ο ερευνητής λέει ότι το τελευταίο διάστημα έχει παρατηρηθεί αυξημένη χρήση του GitHub, για τη φιλοξενία κακόβουλου λογισμικού.
Δείτε επίσης: Malvertasing καμπάνια διαδίδει το “PikaBot” malware!
Οι hackers πολλές φορές στρέφονται σε νόμιμες υπηρεσίες για τη φιλοξενία κακόβουλου λογισμικού και για να λειτουργούν ως dead drop resolvers για την ανάκτηση του actual command-and-control (C2) address.
Η χρήση δημόσιων πηγών για C2 δεν τους προστατεύει πλήρως από καταργήσεις, αλλά επιτρέπει στους επιτιθέμενους να δημιουργούν εύκολα υποδομές επίθεσης που είναι φθηνές και αξιόπιστες.
Η χρήση νόμιμων υπηρεσιών είναι ύπουλη τακτική καθώς επιτρέπει στους επιτιθέμενους να συνδυάζουν το κακόβουλο network traffic με γνήσιες επικοινωνίες μέσα σε ένα παραβιασμένο δίκτυο. Ως αποτέλεσμα, οι πιθανότητες να επισημανθεί ως ύποπτο ένα μολυσμένο τελικό σημείο που επικοινωνεί με ένα GitHub repository, είναι λιγότερο πιθανό.
Μάλιστα, η κατάχρηση GitHub gists δείχνει μια εξέλιξη αυτής της νέας τάσης. Τα Gists προσφέρουν έναν εύκολο τρόπο στους προγραμματιστές να μοιράζονται code snippets με άλλους.
Τα public gists εμφανίζονται στο Discover feed του GitHub, ενώ τα secret gists, αν και δεν είναι προσβάσιμα μέσω του Discover, μπορούν να κοινοποιηθούν σε άλλους (μέσω κοινοποίησης της διεύθυνση URL). Ωστόσο, εάν κάποιος τρίτος ανακαλύψει τη διεύθυνση URL, θα μπορεί επίσης να δει το gist. Μια άλλη ενδιαφέρουσα πτυχή των secret gists είναι ότι δεν εμφανίζονται στο GitHub profile page του δημιουργού, επιτρέποντας στους φορείς απειλών να τα αξιοποιήσουν ως κάποιου είδους υπηρεσία pastebin.
Δείτε επίσης: Westpole: Επίθεση ransomware διακόπτει τις ψηφιακές υπηρεσίες της Ιταλικής Δημόσιας Διοίκησης
Η ReversingLabs είπε ότι εντόπισε πολλά PyPI packages (httprequesthub, pyhttpproxifier, libsock, libproxy και libsocks5) που μεταμφιέζονταν σε βιβλιοθήκες για το χειρισμό του network proxying, αλλά περιείχαν μια Base64-encoded διεύθυνση URL που δείχνει ένα secret gist που φιλοξενείται σε ένα throwaway GitHub account χωρίς public-facing projects.
Το gist διαθέτει Base64-encoded commands που αναλύονται και εκτελούνται σε μια νέα διαδικασία, μέσω κακόβουλου κώδικα που υπάρχει στο αρχείο setup.py των πλαστών πακέτων.
Το 2019, η Trend Micro είχε, επίσης, παρατηρήσει τη διανομή κακόβουλων εντολών μέσω secret gists.
Επιπλέον, μια δεύτερη τεχνική που εντοπίστηκε, περιλαμβάνει την εκμετάλλευση των version control system features, βασιζόμενη σε git commit messages για την εξαγωγή εντολών για εκτέλεση στο σύστημα.
Το PyPI package, που ονομάζεται easyhttprequest, ενσωματώνει κακόβουλο κώδικα που “κλωνοποιεί ένα συγκεκριμένο git repository από το GitHub και ελέγχει εάν το ‘head’ commit αυτού του repository περιέχει ένα commit message που ξεκινά με μια συγκεκριμένη συμβολοσειρά“, είπε ο Zanki.
Όλα τα κακόβουλα packages έχουν πλέον αφαιρεθεί από το Python Package Index (PyPI) repository.
Δείτε επίσης: Microsoft: Κρίσιμη αδυναμία RCE στον διακομιστή Perforce Helix Core
“Η χρήση του GitHub ως υποδομής C2 δεν είναι καινούργια, αλλά η κατάχρηση λειτουργιών όπως το Git Gists και τα commit messages για παράδοση εντολών είναι νέες προσεγγίσεις που χρησιμοποιούνται από κακόβουλους παράγοντες“, κατέληξε ο Zanki.
Πώς να προστατευτείτε από τα malware;
Η πρώτη και πιο σημαντική στρατηγική για την προστασία από malware είναι η εφαρμογή ενημερώσεων. Είναι σημαντικό να ενημερώνετε τακτικά το λειτουργικό σύστημα και το λογισμικό ασφαλείας σας, καθώς οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις για ευπάθειες που μπορεί να εκμεταλλευθούν οι hackers.
Επίσης, είναι σημαντικό να χρησιμοποιείτε ένα σύγχρονο λογισμικό antivirus που μπορεί να ανιχνεύσει και να απομακρύνει τις πιο πρόσφατες απειλές. Αυτό το λογισμικό πρέπει να ενημερώνεται τακτικά για να παραμείνει αποτελεσματικό.
Η εκπαίδευση είναι επίσης κρίσιμη. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι hackers για να κρύψουν το malware, ώστε να μπορούν να αναγνωρίσουν και να αποφύγουν τις επιθέσεις.
Επιπλέον, η χρήση δικτύων VPN και η προστασία των συνδέσεων σας με κρυπτογράφηση μπορεί να βοηθήσει στην προστασία από την κρυφή εγκατάσταση malware.
Τέλος, η προσεκτική διαχείριση των δικαιωμάτων πρόσβασης στον υπολογιστή σας μπορεί να προσφέρει επιπλέον προστασία. Αποφύγετε τη χρήση λογαριασμών με δικαιώματα διαχειριστή για την καθημερινή χρήση και περιορίστε την πρόσβαση σε ευαίσθητα αρχεία.
Πηγή: thehackernews.com
