Plats / språk
Go to
Kontakt

Conscia ThreatInsights:

Det smygande cyberhotet: Missbruk av GitHub i skadliga syften

Hem » Blogg » Missbruk av GitHub i skadliga syften
David Kasabji Cyber Security Engineer NIL part of Consciarity David Kasabji Threat Intelligence Engineer
10. januari 2024

I det föränderliga landskapet av cybersäkerhetshot har GitHub, en populär samarbetsplattform för kodning och versionskontroll, blivit en ny arena för cyberbrottslingar och avancerade ihållande hot (APT, Advanced Persistent Threats). Den här artikeln fördjupar sig i de mångfacetterade och tekniskt avancerade sätt som GitHub utnyttjas för skapa skadlig infrastruktur. Hur det skapar utmaningarna för cybersäkerheten och behovet av effektiva strategier för hothantering.

Figure 1 - Breakdown of abused GitHub services among samples sourced from Recorded Future
Bild 1 – Uppdelning av missbrukade GitHub-tjänster bland exempel från Recorded Future.

Förstå hotet

GitHubs tjänster, som är integrerade i många legitima operationer, kapas för ett brett spektrum av skadliga infrastruktursystem. En vanlig hotvektor är leverans av nyttolast, DDR (Dead Drop Resolve), fullständig kommando- och kontrollhantering (C2) och exfiltrering. Den här exploateringen, som kallas ”living-off-trusted-sites” (LOTS), gör det möjligt för angripare att sömlöst smälta in i legitim nätverkstrafik, kringgå traditionella säkerhetsförsvar och komplicera spårningen av uppströms infrastruktur och aktörsattribution.

Även om GitHub erbjuder en plattform för effektiv och samarbetsinriktad utveckling, presenterar den samtidigt ett billigt och lättillgängligt medium för hotaktörer. Det är dock inte utan nackdelar för dem. GitHubs inneboende begränsningar, till exempel filstorleksbegränsningar och ökad insyn i värdbaserad infrastruktur, utgör utmaningar för hotaktörerna.

Figure 2 – Graphic of GitHub services abused by malicious infrastructure
Bild 2 – Grafik över GitHub-tjänster som missbrukas av skadlig infrastruktur.

Leverans av nyttolast – det dominerande systemet

Nyttolastleverans framstår som det vanligaste infrastrukturschemat, med dess enkla implementering och anpassning till GitHubs legitima use cases. Ändå riskerar det oavsiktlig exponering, vilket kan avslöja operativa insikter om hotaktörers utvecklingskapacitet, mål och attackvektorer.

GitHubs användning för DDR- och fullständiga C2-implementeringar, även om det är mindre vanligt, utgör betydande problem. DDR via GitHub utgör minimal risk för dataförlust på grund av plattformens svårighet att urskilja skadliga avsikter bakom publicerade adresser eller strängar. Fullständiga C2-system, även om de är relativt sällsynta, är främst kopplade till sofistikerad APT-aktivitet, vilket understryker deras potentiella inverkan.

Exfiltrering och annan skadlig användning

Även om GitHub används mindre ofta för exfiltrering än andra scheman, kan dess användning i detta avseende inte förbises. Dessutom har GitHub-tjänster missbrukats för andra skadliga ändamål, inklusive att vara värd för nätfiskeoperationer och fungera som en infektionsvektor.

Minska hotet

För att bekämpa GitHub-missbruk krävs ett mångfacetterat tillvägagångssätt. Detta inkluderar tjänstbaserade strategier som att flagga eller blockera specifika GitHub-tjänster och kontextbaserade strategier baserat på de specifika behoven i olika företagsmiljöer. Organisationer bör investera i att förstå hur GitHub missbrukas för att utveckla sofistikerade identifieringsmekanismer och skräddarsydd hotjakt.

Utmaningar med att upptäcka GitHub-missbruk

Att använda plattformar som GitHub för skändliga aktiviteter är en taktik för att undvika upptäckt. Att identifiera sådant missbruk i en specifik miljö beror på faktorer som tillgängligheten av loggar, organisationsstruktur och risktolerans. Ett skräddarsytt tillvägagångssätt som kombinerar flera detektionsstrategier är nödvändigt.

Kontextbaserade identifieringsmetoder

Denna strategi är grundad i förståelsen av specifika organisatoriska behov. Om endast vissa avdelningar ska få åtkomst till GitHub-tjänster anses all trafik från andra delar som inte är avsedda för den här interaktionen vara misstänkt. Om till exempel endast utvecklingsteamet har behörighet att komma åt GitHub-API:er kan trafik från olika avdelningar till dessa API:er tyda på skadlig aktivitet. Implementering av den här strategin kräver detaljerad kunskap om organisationsmiljön, inklusive en lista över auktoriserade användare och nätverkssegment.

Tjänstbaserade detekteringstekniker

Den här metoden fokuserar på att identifiera onödiga GitHub-tjänster i en företagsmiljö. En organisation som använder en intern Git Enterprise-server kanske inte behöver olika externa GitHub-tjänster. På samma sätt kan vissa GitHub-värdar blockeras eller övervakas för företag som använder lokalt installerade löpare för jobbtilldelningar och uppdateringar. Att förstå organisationens användning av GitHub-tjänsten är avgörande för den här strategin.

Loggbaserade detektionsmetoder

Loggbaserad identifiering innebär att analysera interaktioner mellan system och GitHub-tjänster. Misstänkta anslutningar kan identifieras via proxy- och granskningsloggar. Till exempel:

  • Övervaka specifika LOLbins (Living-Off-the-Land) som certutil eller wget som används för att hämta nyttolaster från GitHub.
  • Identifiera körbara filer som inte är webbläsarbaserade och som gör DNS-begäranden till GitHub-domäner.Skapa identifieringsregler för Git-kommandon som används vid dataexfiltrering, till exempel ”fjärransluten”, ”lägg till” eller ”push”, särskilt när det gäller GitHub-domäner som inte är företagsdomäner.
  • Proxyloggar kan användas för att identifiera specifika URL-mönster med körbara filnamnstillägg.

Detektion baserad på LIS-kombinationer

Eftersom skadlig kod ofta missbrukar flera LIS kan det vara effektivt att identifiera kombinationer av dessa tjänster. Att till exempel identifiera trafik till GitHub-sidor som omdirigerar till andra tjänster som fingerade API-tjänster kan tyda på skadlig aktivitet.

Proaktiv hotjakt

Proaktiv jakt omfattar manuella processer och kan ge insikter om beteenden hos hotaktörer. Teknikerna inkluderar:

  • Jakt via GitHub-användarnamn, lagringsplatser och organisationsnamn.
  • Använda verktyg för genomsökning av webbplatser för skadlig kod som är associerade med GitHub.
  • Analysera GitHub-incheckningshistorik för att avslöja information om hotaktörers attackvektorer, motiveringar och mål.

Framtidsutsikter

I takt med att missbruket av legitima internettjänster som GitHub förväntas öka måste både försvarare och tjänsteleverantörer anpassa sig. Effektiva begränsningsstrategier kräver avancerade detekteringsmetoder, mer omfattande synlighet och olika detekteringsvinklar. Dessutom förväntas förändringar i ägandet av säkerheter, där LIS potentiellt tar ett större ansvar för att bekämpa missbruk.

Missbruket av GitHub i skadliga syften understryker en kritisk utmaning inom cybersäkerhet: utnyttjandet av betrodda, legitima tjänster. För att ta itu med detta krävs inte bara avancerade tekniska lösningar utan också ett paradigmskifte i hur cybersäkerhet hanteras, med betoning på proaktiva, intelligensdrivna strategier för att ligga steget före hotet.

Kontakta oss!
Svar inom 24h