GitHub’ın bilgi teknolojisi (BT) ortamlarında her yerde bulunması, tehdit aktörlerinin kötü amaçlı yükleri barındırması ve dağıtması ve ölü çözümleyiciler, komuta ve kontrol ve veri sızma noktaları olarak hareket etmesi için onu kazançlı bir seçim haline getirdi.
Recorded Future, The Hacker News ile paylaşılan bir raporda şunları söyledi: “Kötü amaçlı altyapı için GitHub hizmetlerini kullanmak, saldırganların meşru ağ trafiğine uyum sağlamasına olanak tanıyor, genellikle geleneksel güvenlik savunmalarını atlıyor ve yukarı akış altyapı takibini ve aktör ilişkilendirmesini daha zor hale getiriyor.”
Siber güvenlik firması, yaklaşımı “güvenilir siteler dışında yaşayan siteler” (LOTS) olarak tanımladı; bu, tehdit aktörlerinin genellikle hileli faaliyetleri gizlemek ve radarın altından geçmek için benimsediği karadan uzakta yaşama (LotL) tekniklerinin bir versiyonu.
GitHub’ın kötüye kullanıldığı yöntemler arasında en öne çıkanı, bazı aktörlerin komuta ve kontrol (C2) şaşırtmacası için özelliklerinden faydalandığı yük dağıtımıyla ilgilidir. Geçen ay ReversingLabs, güvenliği ihlal edilmiş ana bilgisayarlardan kötü amaçlı komutlar almak için GitHub’da barındırılan gizli bir öze dayanan bir dizi hileli Python paketini ayrıntılı olarak açıklamıştı.
GitHub’daki tam teşekküllü C2 uygulamaları, diğer altyapı planlarıyla karşılaştırıldığında nadir olsa da, tehdit aktörleri tarafından bir çıkmaz çözümleyici olarak kullanılması (aktör kontrollü bir GitHub deposundan gelen bilgilerin gerçek C2 URL’sini elde etmek için kullanıldığı) çok fazla. Drokbk ve ShellBox gibi kötü amaçlı yazılımlarda da görüldüğü gibi daha yaygın.
Ayrıca nadiren gözlemlenen GitHub’ın veri sızdırma amacıyla kötüye kullanılmasıdır; Recorded Future’a göre bu durum muhtemelen dosya boyutu, depolama sınırlamaları ve keşfedilebilirlik endişelerinden kaynaklanmaktadır.
Bu dört ana planın dışında platformun sunduğu olanaklar, altyapıyla ilgili amaçların karşılanması amacıyla çeşitli şekillerde de kullanıma sunuluyor. Örneğin, GitHub Sayfaları kimlik avı ana bilgisayarları veya trafik yeniden yönlendiricileri olarak kullanıldı; bazı kampanyalar GitHub deposunu yedek C2 kanalı olarak kullanıyor.
Bu gelişme, Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello ve Discord gibi meşru internet hizmetlerinin tehdit aktörleri tarafından istismar edildiğine dair daha geniş bir eğilime işaret ediyor. Bu aynı zamanda GitLab, BitBucket ve Codeberg gibi diğer kaynak kodu ve sürüm kontrol platformlarını da içerir.
Şirket, “GitHub kötüye kullanımın tespiti için evrensel bir çözüm yok” dedi. “Diğerlerinin yanı sıra günlüklerin kullanılabilirliği, organizasyon yapısı, hizmet kullanım kalıpları ve risk toleransı gibi belirli ortamlardan ve faktörlerden etkilenen bir algılama stratejileri karışımına ihtiyaç vardır.”