Araştırmacılar, Saldırganların GitHub’u Kötüye Kullanmasının Artan Risk Oluşturduğu Uyardı

Microsoft’un sahibi olduğu GitHub, yaklaşık 100 milyon geliştiricinin kullandığı yazılım geliştirme araçlarını (sürüm kontrolü dahil) çalıştırmak için Git yazılımını kullanan çevrimiçi bir geliştirici platformudur.

Recorded Future’dan gelen bir rapor, GitHub’un kötü amaçlı yazılım grupları ve gelişmiş kalıcı tehdit ve ulus devlet grupları da dahil olmak üzere çeşitli türlerdeki saldırganlar tarafından yasa dışı kullanımının, özellikle saldırganlar platformun çeşitli hizmetlerini kötüye kullanmaya alıştıkça artacağı konusunda uyarıyor. GitHub yorum talebine yanıt vermedi.

GitHub’un başlıca yasa dışı kullanım örnekleri arasında uç noktalara kötü amaçlı yükler göndermek, ölü bırakma çözümleyicisi işlevi görmek (kurbanları meşru sitelerden gayri meşru sitelere yönlendirmek için yayınlanan içeriği kullanmak, virüslü uç noktaları kontrol etmek için bir C2 ağı görevi görmek ve verileri sızdırmak) yer alıyor.

Daha az kullanılan diğer kötü amaçlı taktikler arasında “kimlik avı operasyonlarına ev sahipliği yapmak, geri dönüş kanalları olarak hareket etmek ve veri havuzu zehirleme teknikleri yoluyla bir enfeksiyon vektörü olarak hizmet etmek” yer alıyor.

Discord, Dropbox, Google Drive, IRC kanalları, OneNote ve Telegram dahil olmak üzere çok sayıda meşru internet hizmeti uzun süredir saldırganlar tarafından çökertildi veya dinlendi. “Siber suçlular, bir süredir CSP’lerin ücretsiz katmanlarından hizmet olarak platform (PaaS) ve hizmet olarak yazılım (SaaS) özelliklerine kadar ücretsiz bulut platformlarından ve hizmetlerinden eğlence ve kâr amacıyla yararlanıyor. Trend Micro, Ocak 2023 tarihli bir raporda şunları söyledi: Heroku, Google Drive, GitHub Eylemleri ve çok daha fazlası.

Recorded Future, Raw GitHub’ın şu anda platformda en çok suistimal edilen hizmet olduğunu ve onu GitHub’un Nesneleri, Sayfaları ve Kod Yükü’nün takip ettiğini söylüyor.

Raporda, “Niteliksel olarak, gelişmişlik konusunda bir yükseliş potansiyeli var ve APT gruplarının bu alandaki ilerlemelere öncülük etmeye devam edeceğini, bunun da zaman içinde daha az gelişmiş grupları etkileyen kademeli etkilere yol açacağını tahmin ediyoruz” diyor.

Savunmacılar için zorluk, saldırganların yasal bulut hizmetlerini kullanmasıdır. Trend Micro’nun raporunda belirtildiği gibi, bu tür hizmetlerin kullanılması “saldırganların saldırılarını hızlı ve kolay bir şekilde ölçeklendirmelerine, izlerini gizlemelerine ve yasal hizmetleri kötüye kullanarak tespit edilmekten kaçınmalarına yardımcı oluyor.”

Sağlayıcı Düzeyinde Savunmalar

GitHub da dahil olmak üzere tüm meşru hizmet sağlayıcılar için, platformlarının kötü kullanım durumlarını engellemenin en iyi yolu (ve dolayısıyla platformu kötüye kullanan suçluların hedef aldığı herkes için), bu tür kötüye kullanımları tespit etmek üzere tasarlanmış özel dahili ekipler oluşturmaktır.

Uzmanlar, kötüye kullanımı ortadan kaldırmak isteyen meşru hizmetlerin, sinyali gürültüden ayırmada zorlanabileceğini, ancak diğer bazı stratejilerin de yardımcı olabileceğini söylüyor.

Recorded Future, geçen Ağustos ayında Dropbox’ın sınırsız, “ihtiyacınız olan tüm alan” politikasını sınırlayarak – başkaları için depolamayı bir havuzda toplayan bireylerin yanı sıra kripto para birimi ve Chia madenciliği de dahil olmak üzere – yasadışı kullanımdan bir ısırık aldığını söyledi. Dropbox bunu, mevcut müşterilerini lisans başına 35 terabayt depolama alanıyla sınırlayarak yaptı ve bunun, temel aylık ücretten fazlasını ödemedikleri sürece müşterilerinin %99’u için zaten geçerli olduğunu söyledi.

Dropbox yalnız değil. Bu hamle, Google Workspace’in geçen Temmuz ayından itibaren kullanıcıların depolayabileceği veri miktarına sınırlama getirmesinin ardından gerçekleşti. Amazon, 31 Aralık itibarıyla dosya depolama Drive hizmetini tamamen kullanımdan kaldırdı.

Teknik değişiklikler de yardımcı olabilir. Geçtiğimiz Ekim ayında siber güvenlik firması Trellix, Discord’un içerik dağıtım ağını bir dağıtım mekanizması olarak hizmet etmek için kötüye kullanan “birçok büyük yükleyici ailesi” de dahil olmak üzere ancak “büyük ölçüde bilgi hırsızları ve yakalayıcılarla sınırlı” olan 10.000 farklı kötü amaçlı yazılım örneğini saydığını bildirdi. Bazı kötü amaçlı yazılım türleri, “kurbanın makinesinden bir Discord kanalına veri sızdırmak için” Discord’un web kancalarını da kullandı.

Bleeping Computer’ın bildirdiğine göre Discord, bir sonraki ay CDN’sinin kötü amaçlı yazılım barındırmak ve dağıtmak için yasa dışı kullanımıyla mücadele etmek amacıyla geçici dosya bağlantıları oluşturmaya ve bunları 24 saat sonra yenilemeye başladı.

GitHub Kullanıcılarına Öneriler

Recorded Future’ın raporuna göre, saldırganlar meşru bulut hizmetlerinin kullanımını geliştirmeye devam edecek, bu da yasadışı kullanımlarının en azından bir kısmının muhtemelen başarılı olmaya devam edeceği anlamına geliyor. GitHub kullanan kuruluşlardaki dahili savunucuların bu tür saldırılarla mücadele etmek için birden fazla savunma adımı atabileceğini söylüyor. Bunlar arasında GitHub erişiminin kuruluşun yalnızca belirli bölümleriyle sınırlandırılması – “GitHub API erişimi için yetkili geliştiricilerin, VLAN’ların ve dahili IP adreslerinin bir listesinin” tutulması – ve erişimin yalnızca açıkça yetkilendirilmiş GitHub hizmetleriyle sınırlandırılması yer alıyor.

Raporda, bu tür stratejilerin kusursuz olmayacağı, çünkü “tehdit aktörlerinin ortama uyum sağlamak amacıyla keşif yaptığı ve muhtemelen kurbanlarının belirli hizmet kullanımını dikkate aldığı” belirtiliyor.

Önerdiği diğer stratejiler arasında, saldırganların izinsiz girememesi için kuruluşun GitHub erişim kimlik bilgilerinin korunması, saldırı belirtileri veya bir C2 sunucusuna telefon eden virüslü uç noktalar için proxy ve denetim günlüklerinin yakından takip edilmesi ve proaktif tehdit avcılığının yürütülmesi yer alıyor.