De alomtegenwoordigheid van GitHub in informatietechnologie (IT)-omgevingen heeft het tot een lucratieve keuze gemaakt voor bedreigingsactoren om kwaadaardige ladingen te hosten en af te leveren en te fungeren als dead drop-resolvers, command-and-control en data-exfiltratiepunten.
“Door GitHub-services te gebruiken voor kwaadaardige infrastructuur kunnen kwaadwillenden zich mengen in legitiem netwerkverkeer, waarbij vaak de traditionele beveiligingsmaatregelen worden omzeild en het volgen van de upstream-infrastructuur en de toewijzing van actoren moeilijker wordt”, aldus Recorded Future in een rapport gedeeld met The Hacker News.
Het cyberbeveiligingsbedrijf omschreef de aanpak als ‘living-off-trusted-sites’ (LOTS), een variant op de living-off-the-land (LotL)-technieken die vaak door bedreigingsactoren worden toegepast om malafide activiteiten te verbergen en onder de radar te blijven.
Een van de meest prominente methoden waarmee GitHub wordt misbruikt, heeft betrekking op de levering van payloads, waarbij sommige actoren de functies ervan benutten voor command-and-control (C2)-verduistering. Vorige maand heeft ReversingLabs een aantal frauduleuze Python-pakketten gedetailleerd beschreven die afhankelijk waren van een geheime kern gehost op GitHub om kwaadaardige commando’s op de aangetaste hosts te ontvangen.
Hoewel volwaardige C2-implementaties in GitHub ongebruikelijk zijn in vergelijking met andere infrastructuurschema’s, is het gebruik ervan door bedreigingsactoren als een dead drop-resolver (waarbij de informatie uit een door actoren gecontroleerde GitHub-repository wordt gebruikt om de daadwerkelijke C2-URL te verkrijgen) veel. komen vaker voor, zoals blijkt uit het geval van malware zoals Drokbk en ShellBox.
Ook zelden waargenomen is het misbruik van GitHub voor data-exfiltratie, wat volgens Recorded Future waarschijnlijk te wijten is aan bestandsgrootte en opslagbeperkingen en zorgen rond de vindbaarheid.
Buiten deze vier hoofdprogramma’s wordt het aanbod van het platform op verschillende andere manieren gebruikt om aan infrastructuurgerelateerde doeleinden te voldoen. GitHub-pagina’s zijn bijvoorbeeld gebruikt als phishing-hosts of verkeersomleiders, waarbij sommige campagnes een GitHub-repository gebruiken als back-up C2-kanaal.
De ontwikkeling sluit aan bij de bredere trend dat legitieme internetdiensten zoals Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello en Discord worden uitgebuit door bedreigingsactoren. Dit omvat ook andere broncode- en versiebeheerplatforms zoals GitLab, BitBucket en Codeberg.
“Er is geen universele oplossing voor het opsporen van GitHub-misbruik”, aldus het bedrijf. “Er is een mix van detectiestrategieën nodig, beïnvloed door specifieke omgevingen en factoren zoals onder meer de beschikbaarheid van logs, organisatiestructuur, gebruikspatronen van diensten en risicotolerantie.”
