Bilgisayar korsanları kaynak kodu depolarına erişmek ve bunları yönetmek için GitHub’u kullanıyor. GitHub açık kaynaklı projelere ev sahipliği yapıyor ve yetkisiz erişim, bilgisayar korsanlarının kötü amaçlı kod yerleştirmesine, hassas bilgileri çalmasına ve yazılım geliştirme süreçlerindeki güvenlik açıklarından yararlanmasına olanak tanıyor.
Recorded Future’daki siber güvenlik araştırmacıları yakın zamanda APT korsanlarının kötü amaçlı yazılım yükleri dağıtmak için GitHub platformundan aktif olarak yararlandığını keşfetti.
Kod değişikliklerinin depolanmasına, yönetilmesine ve izlenmesine yardımcı olduğu ve barındırma, sürüm kontrolü, sorun izleme ve kod inceleme araçlarıyla işbirliğine dayalı geliştirmeyi desteklediği için 94 milyondan fazla kişi kodlama işbirliği için GitHub’u kullanıyor.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Güvenilir Siteler Dışında Yaşayan Siteler (LOTS)
Son zamanlarda, tehdit aktörlerinin tespitten kaçınmak ve ağ trafiğinde başka avantajlar elde etmek için ücretsiz olarak erişilebilen API’sinden yararlanarak bu platformu çeşitli yasa dışı amaçlarla aktif olarak kullandığı kaydedildi.
Tehdit aktörleri LIS’i GitHub gibi dört ana kategoride kullanıyor: “Yük dağıtımı”, “DDR”, “Tam C2” ve “Sızma”. Tüm bu planlar GitHub güvenlik açıklarından yararlanmak yerine özellikleri harmanlıyor.
Yük dağıtımı, aşağıdaki siber suçlular ve devlet destekli gruplar tarafından yıllardır gözlemleniyor ve hakim durumda: –
- BUHTRAP
- TakımTNT
- Gazze Siber Çetesi
- APT37
Netskope, GitHub’ın 2022’de bulut tabanlı kötü amaçlı yazılım indirmelerinde %7,6’lık paya sahip olduğunu ve kötüye kullanım senaryolarının hazırlama ve enfeksiyon odaklı yöntemleri içerdiğini belirtiyor.
Tehdit aktörleri, depo zehirlenmesi kullanarak veya sahte depolar ve yöntemler oluşturarak GitHub platformundan yararlanıyor.
Rapora göre GitHub da diğer veri erişim platformları gibi DDR için kullanılıyor. Kullanıcılar, platformun kötü niyetli niyeti bağlam olmadan belirlemedeki zorluğu nedeniyle minimum acil risk oluşturan şifrelenmiş dosyalarda bile URL’leri, etki alanlarını veya IP adreslerini paylaşır.
GitHub kullanan tam C2 bir “soyutlama katmanı” içerir, ancak işlevsel kısıtlamalar ve maruz kalma endişeleri nedeniyle daha az yaygındır. GitHub bir sızma proxy’si olarak hizmet verebilir, ancak bu diğer planlara göre daha az sıklıkta gerçekleşir.
Bu arada GitHub’daki Sayfalar, tehdit aktörleri tarafından kimlik avı veya trafiğin yeniden yönlendirilmesi amacıyla da kötüye kullanılıyor, bu da kimlik avı sayfaları için daha uzun çalışma süreleri sağlıyor.
Geliştiricilerin %77’sinin kullandığı GitHub, GitLab (%40) ve BitBucket’i (%25) geride bırakarak en popüler platformlardan biri.
Öneriler
Siber güvenlik araştırmacılarının sunduğu tüm önerilerden aşağıda bahsettik: –
- Görünürlüğü artırın
- Güncel ve kapsamlı bir varlık envanteri tutun
- Tartışılan tespit stratejilerinin uygulanmasını uyarlayın
- Uyarlanabilir güvenlik politikaları oluşturun
- GitHub hesaplarınızı koruyun
- LIS kötüye kullanım senaryolarını rutin saldırı simülasyonlarına entegre edin
- Bilinen kötü amaçlı etkinliklere karşı koymak için GitHub ile etkileşime geçin
- Proaktif tehdit avcılığı gerçekleştirin
Çok yönlü hizmetler, kurumsal ortamlarda kusursuz entegrasyon ve maliyet verimliliği GitHub’un temel özellikleridir. GitHub’ın kötüye kullanılması kod depolarında tamamen yaygındır ancak trend analizi için sektör raporlaması yoktur. Zorluklara rağmen belirli özellikler tehdit aktörleri için çekici olmaya devam ediyor.
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo