Malware findet in GitHub einen unwissenden Verbündeten

Nur weil es auf GitHub läuft, heißt das nicht, dass es legitim ist. Eine finanziell motivierte Spionagegruppe missbraucht ein GitHub-Repository für die C & C-Kommunikation (Command and Control), warnte Trend Micro.

Die Forscher fanden heraus, dass Malware von Winnti, einer Gruppe, die hauptsächlich für die Online-Gaming-Branche bekannt ist, eine Verbindung zu einem GitHub-Konto herstellte, um den genauen Standort der C & C-Server zu ermitteln. Die Malware hat eine im GitHub-Projekt gespeicherte HTML-Seite nachgeschlagen, um die verschlüsselte Zeichenfolge mit der IP-Adresse und der Portnummer für den C & C-Server zu erhalten, schrieb der Trend Micro-Bedrohungsforscher Cedric Pernet im TrendLabs Security Intelligence-Blog. Es würde dann eine Verbindung zu dieser IP-Adresse und diesem Port herstellen, um weitere Anweisungen zu erhalten. Solange die Gruppe die HTML-Seite mit den neuesten Standortinformationen auf dem neuesten Stand hielt, konnte die Malware den C & C-Server finden und eine Verbindung herstellen.

Das GitHub-Konto enthielt 14 verschiedene HTML-Dateien, die alle zu unterschiedlichen Zeiten erstellt wurden und auf fast zwei Dutzend Kombinationen aus IP-Adresse und Portnummer verweisen. Es gab 12 IP-Adressen, aber die Angreifer wechselten zwischen drei verschiedenen Portnummern: 53 (DNS), 80 (HTTP) und 443 (HTTPS). Trend Micro untersuchte die ersten und letzten Festschreibungszeitstempel in den HTML-Dateien, um festzustellen, dass vom 17. August 2016 bis zum 12. März 2017 C & C-Serverinformationen an das Projekt gesendet wurden.

Das GitHub-Konto wurde im Mai 2016 erstellt und sein einziges Repository, das Handy-Projekt, wurde im Juni 2016 erstellt. Das Projekt scheint von einer anderen generischen GitHub-Seite abgeleitet zu sein. Trend Micro ist der Ansicht, dass das Konto von Angreifern selbst erstellt und nicht von seinem ursprünglichen Eigentümer entführt wurde.

"Wir haben GitHub unsere Ergebnisse vor dieser Veröffentlichung privat mitgeteilt und arbeiten proaktiv mit ihnen an dieser Bedrohung", sagte Pernet. Wenden Sie sich an GitHub, um weitere Informationen zum Projekt zu erhalten, und aktualisieren Sie diese mit weiteren Details.

GitHub ist kein Unbekannter für Missbrauch

Unternehmen sind möglicherweise nicht sofort misstrauisch, wenn sie viel Netzwerkverkehr für ein GitHub-Konto sehen, was gut für die Malware ist. Dies macht die Angriffskampagne auch widerstandsfähiger, da die Malware immer die neuesten Serverinformationen abrufen kann, selbst wenn der ursprüngliche Server durch Strafverfolgungsmaßnahmen heruntergefahren wird. Die Serverinformationen sind in der Malware nicht fest codiert, daher ist es für Forscher schwieriger, C & C-Server zu finden, wenn sie nur auf die Malware stoßen.

"Durch den Missbrauch beliebter Plattformen wie GitHub können Bedrohungsakteure wie Winnti die Netzwerkpersistenz zwischen kompromittierten Computern und ihren Servern aufrechterhalten, während sie unter dem Radar bleiben", sagte Pernet.

GitHub wurde über das problematische Repository informiert, dies ist jedoch ein schwieriger Bereich, da die Site vorsichtig sein muss, wie sie auf Missbrauchsberichte reagiert. Es ist klar, dass die Website nicht von Kriminellen zur Übertragung von Malware oder zur Begehung anderer Verbrechen verwendet werden soll. Die Nutzungsbedingungen von GitHub sind sehr klar: "Sie dürfen keine Würmer, Viren oder Codes destruktiver Art übertragen."

Sie will aber auch nicht die legitime Sicherheitsforschung oder Bildungsentwicklung zum Erliegen bringen. Der Quellcode ist ein Werkzeug und kann allein nicht als gut oder schlecht angesehen werden. Es ist die Absicht der Person, die den Code ausführt, die ihn als Sicherheitsforschung oder zur Verteidigung oder böswillig als Teil eines Angriffs nützlich macht.

Der Quellcode für das Mirai-Botnetz, das massive IoT-Botnetz hinter der Reihe der lähmenden verteilten Denial-of-Service-Angriffe im letzten Herbst, ist auf GitHub zu finden. Tatsächlich hosten mehrere GitHub-Projekte den Mirai-Quellcode und jedes ist als für "Forschungs- / IoC-Entwicklungszwecke (Indicators of Compromise]) vorgesehen gekennzeichnet.

Diese Warnung scheint für GitHub ausreichend zu sein, um das Projekt nicht zu berühren, obwohl jetzt jeder den Code verwenden und ein neues Botnetz erstellen kann. Das Unternehmen hängt seine Entscheidungsfindung nicht von der Möglichkeit ab, dass der Quellcode missbraucht werden könnte, insbesondere in Fällen, in denen der Quellcode zuerst heruntergeladen, kompiliert und neu konfiguriert werden muss, bevor er böswillig verwendet werden kann. Selbst dann werden Repositorys nicht gescannt oder überwacht, um nach Projekten zu suchen, die aktiv auf schädliche Weise verwendet werden. GitHub untersucht und handelt basierend auf Berichten von Benutzern.

Gleiches gilt für die Ransomware-Projekte EDA2 und Hidden Tear. Sie wurden ursprünglich als Proof-of-Concepts für Bildungszwecke erstellt und auf GitHub veröffentlicht. Seitdem wurden Variationen des Codes bei Ransomware-Angriffen gegen Unternehmen verwendet.

Die Community-Richtlinien bieten etwas mehr Einblick in die Bewertung potenzieller problematischer Projekte durch GitHub: "Um Teil einer Community zu sein, müssen andere Mitglieder der Community nicht ausgenutzt werden. Wir erlauben niemandem, unsere Plattform für Exploit-Bereitstellungen wie das Hosting von böswilligen Inhalten zu nutzen." ausführbare Dateien oder als Angriffsinfrastruktur, z. B. durch Organisieren von Denial-of-Service-Angriffen oder Verwalten von Befehls- und Kontrollservern. Beachten Sie jedoch, dass das Posten von Quellcode, der zur Entwicklung von Malware oder Exploits verwendet werden kann, als Veröffentlichung und nicht verboten ist Die Verbreitung eines solchen Quellcodes hat einen pädagogischen Wert und bietet der Sicherheitsgemeinschaft einen Nettovorteil. "

Cyberkriminelle verlassen sich seit langem auf bekannte Onlinedienste, um Malware zu hosten, um Opfer auszutricksen, Befehls- und Kontrollserver auszuführen oder ihre böswilligen Aktivitäten vor Sicherheitsmaßnahmen zu verbergen. Spammer haben URL-Shortener verwendet, um Opfer auf zwielichtige und böswillige Websites umzuleiten, und Angreifer haben Google Text & Tabellen oder Dropbox verwendet, um Phishing-Seiten zu erstellen. Der Missbrauch legitimer Dienste macht es für die Opfer schwierig, Angriffe zu erkennen, aber auch für Website-Betreiber, herauszufinden, wie Kriminelle daran gehindert werden können, ihre Plattformen zu nutzen.