Perisian hasad menemui sekutu yang tidak diingini di GitHub

Hanya kerana di GitHub tidak bermaksud ia sah. Kumpulan pengintipan yang bermotivasi kewangan menyalahgunakan repositori GitHub untuk komunikasi C&C (arahan dan kawalan), Trend Micro memberi amaran.

Para penyelidik mendapati perisian hasad yang digunakan oleh Winnti, sebuah kumpulan yang terkenal dengan tujuan menyasarkan industri permainan dalam talian, telah menyambung ke akaun GitHub untuk mendapatkan lokasi pelayan C&C yang tepat. Malware mencari halaman HTML yang tersimpan dalam projek GitHub untuk mendapatkan rentetan yang dienkripsi yang mengandungi alamat IP dan nombor port untuk pelayan C&C, tulis pengkaji ancaman Trend Micro, Cedric Pernet di blog Kecerdasan Keselamatan TrendLabs. Ia kemudian akan menyambung ke alamat IP dan port tersebut untuk menerima arahan lebih lanjut. Selagi kumpulan itu mengemas kini halaman HTML dengan maklumat lokasi terkini, perisian hasad akan dapat mencari dan menyambung ke pelayan C&C.

Akaun GitHub mengandungi 14 fail HTML yang berbeza, semuanya dibuat berkali-kali, dengan merujuk kepada hampir dua lusin alamat IP dan kombinasi nombor port. Terdapat 12 alamat IP, tetapi penyerang berputar di antara tiga nombor port yang berbeza: 53 (DNS), 80 (HTTP), dan 443 (HTTPS). Trend Micro melihat cap waktu komitmen pertama dan terakhir pada fail HTML untuk menentukan bahawa maklumat pelayan C&C diposkan ke projek dari 17 Ogos 2016 hingga 12 Mac 2017.

Akaun GitHub telah dibuat pada bulan Mei 2016, dan satu-satunya repositori, projek telefon bimbit, dibuat pada bulan Jun 2016. Projek ini nampaknya berasal dari halaman GitHub generik yang lain. Trend Micro percaya akaun itu dibuat oleh penyerang sendiri dan tidak dirampas dari pemilik asalnya.

"Kami telah secara terbuka mendedahkan penemuan kami kepada GitHub sebelum penerbitan ini dan secara proaktif bekerja dengan mereka mengenai ancaman ini," kata Pernet. menghubungi GitHub untuk maklumat lebih lanjut mengenai projek itu dan akan mengemas kini dengan butiran tambahan.

GitHub tidak asing bagi penyalahgunaan

Organisasi mungkin tidak segera curiga jika mereka melihat banyak lalu lintas rangkaian untuk akaun GitHub, yang baik untuk perisian hasad. Ini juga menjadikan kempen serangan lebih tangguh, kerana malware selalu dapat memperoleh informasi pelayan terbaru walaupun pelayan asalnya ditutup oleh tindakan penegak hukum. Maklumat pelayan tidak dikodkan dalam perisian hasad, jadi lebih sukar bagi penyelidik untuk mencari pelayan C&C jika mereka hanya menemui perisian hasad.

"Menyalahgunakan platform popular seperti GitHub memungkinkan pelaku ancaman seperti Winnti untuk mengekalkan ketekunan rangkaian antara komputer yang dikompromikan dan pelayannya, sambil tetap berada di bawah radar," kata Pernet.

GitHub telah diberitahu tentang repositori yang bermasalah, tetapi ini adalah area yang rumit, kerana laman web ini harus berhati-hati dalam bagaimana ia bertindak balas terhadap laporan penyalahgunaan. Ini jelas tidak mahu laman webnya digunakan oleh penjenayah untuk menyebarkan perisian hasad atau melakukan kejahatan lain. Syarat perkhidmatan GitHub sangat jelas mengenai hal itu: "Anda tidak boleh menyebarkan cacing atau virus atau sebarang kod yang boleh merosakkan."

Tetapi ia juga tidak mahu menutup penyelidikan keselamatan atau pengembangan pendidikan yang sah. Kod sumber adalah alat, dan ia tidak boleh dianggap baik atau buruk dengan sendirinya. Niat orang yang menjalankan kod itu menjadikannya bermanfaat, sebagai penyelidikan keselamatan atau digunakan dalam pertahanan, atau berniat jahat, sebagai bagian dari serangan.

Kod sumber untuk botnet Mirai, botnet IoT besar di sebalik rangkaian serangan penolakan perkhidmatan yang dilumpuhkan pada musim gugur lalu, boleh didapati di GitHub. Sebenarnya, banyak projek GitHub menghosting kod sumber Mirai, dan masing-masing ditandai sebagai dimaksudkan untuk "Tujuan Penyelidikan / IoC [Indikator Kompromi] Pembangunan."

Amaran itu nampaknya cukup untuk GitHub untuk tidak menyentuh projek itu, walaupun sekarang ada yang dapat menggunakan kod dan membuat botnet baru. Syarikat tidak bergantung pada keputusannya mengenai kemungkinan bahawa kod sumber dapat disalahgunakan, terutama dalam kes di mana kod sumber pertama perlu dimuat turun, dikompilasi, dan dikonfigurasi ulang sebelum dapat digunakan secara berbahaya. Walaupun begitu, ia tidak mengimbas atau memantau repositori untuk mencari projek yang digunakan secara aktif dengan cara yang berbahaya. GitHub menyiasat dan bertindak berdasarkan laporan dari pengguna.

Alasan yang sama berlaku untuk projek ransomware EDA2 dan Hidden Tear. Mereka awalnya dibuat sebagai bukti bukti konsep dan diposting di GitHub, tetapi sejak itu, variasi kod telah digunakan dalam serangan ransomware terhadap perusahaan.

Garis Panduan Komuniti mempunyai sedikit lebih banyak wawasan tentang bagaimana GitHub menilai potensi projek yang bermasalah: "Menjadi sebahagian daripada komuniti termasuk tidak memanfaatkan anggota komuniti yang lain. Kami tidak membenarkan sesiapa pun menggunakan platform kami untuk mengeksploitasi penyampaian, seperti hosting jahat yang dapat dieksekusi, atau sebagai infrastruktur serangan, misalnya dengan mengatur serangan penolakan perkhidmatan atau menguruskan pelayan perintah dan kawalan. Namun, perhatikan bahawa kami tidak melarang pengeposan kod sumber yang dapat digunakan untuk mengembangkan perisian hasad atau eksploitasi, seperti penerbitan dan pengedaran kod sumber tersebut mempunyai nilai pendidikan dan memberikan keuntungan bersih kepada komuniti keselamatan. "

Penjenayah siber telah lama bergantung pada perkhidmatan dalam talian yang terkenal untuk mengehadkan perisian hasad untuk menipu mangsa, menjalankan pelayan arahan dan kawalan, atau menyembunyikan aktiviti jahat mereka dari pertahanan keselamatan. Spammer telah menggunakan pemendek URL untuk mengarahkan mangsa ke laman web yang tidak senonoh dan berniat jahat dan penyerang telah menggunakan Google Docs atau Dropbox untuk membuat halaman pancingan data. Penyalahgunaan perkhidmatan yang sah menjadikan mangsa sukar untuk mengenali serangan, tetapi juga bagi pengendali laman web untuk mengetahui cara mencegah penjenayah menggunakan platform mereka.