V razvijajočem se okolju groženj kibernetski varnosti se je GitHub, priljubljena platforma za skupno kodiranje in nadzor različic, pojavil kot nova možnost za kibernetske kriminalce in napredne trajne grožnje (APT). Ta članek obravnava večplastne načine izkoriščanja GitHuba za zlonamerno infrastrukturo, izzive za kibernetsko varnost in učinkovite strategije za ublažitev.
Dostava plačilnega bremena – prevladujoča shema
Kot najbolj razširjena infrastrukturna shema se pojavlja dostavljanje plačanega bremena, saj je enostavna za izvajanje in skladna z zakonitimi primeri uporabe GitHuba. Vendar pa obstaja nevarnost nenamernega razkritja, ki lahko razkrije operativne podatke o razvojnih zmogljivostih, ciljih in vektorjih napada akterjev groženj.
Čeprav je uporaba GitHuba za izvajanje DDR in popolnih C2 manj pogosta, predstavlja precejšnje pomisleke. DDR prek GitHuba predstavlja minimalno tveganje za odstranitev podatkov, saj je na platformi težko razbrati zlonamerne namene za objavljenimi naslovi ali nizi. Čeprav so sheme popolnega C2 razmeroma redke, so večinoma povezane s sofisticiranimi dejavnostmi APT, kar še poudarja njihov potencialni vpliv.
Eksfiltracija in druge zlonamerne uporabe
Čeprav se GitHub manj pogosto uporablja za iznos podatkov kot druge sheme, njegove uporabe v zvezi s tem ni mogoče spregledati. Poleg tega so bile storitve GitHub zlorabljene za različne druge zlonamerne namene, vključno z gostovanjem goljufivih operacij in služenjem kot vektor okužbe.
Mitigiranje groženj
Za boj proti zlorabam v storitvi GitHub je potreben večplasten pristop. Ta vključuje strategije, ki temeljijo na storitvah, kot je označevanje ali blokiranje določenih storitev GitHuba, in strategije, ki temeljijo na kontekstu in temeljijo na posebnih potrebah različnih poslovnih okolij. Organizacije morajo vlagati v razumevanje, kako se GitHub zlorablja, da razvijejo izpopolnjene mehanizme za odkrivanje in prilagojen lov na grožnje.
Izzivi pri odkrivanju zlorab GitHuba
Uporaba platform, kot je GitHub, za nečedne dejavnosti je taktika za izogibanje odkrivanju. Prepoznavanje takšnih zlorab v določenem okolju je odvisno od dejavnikov, kot so razpoložljivost dnevnikov, organizacijska struktura in toleranca tveganja. Potreben je prilagojen pristop, ki združuje več strategij odkrivanja.
Pristopi za odkrivanje na podlagi konteksta
Ta strategija temelji na razumevanju posebnih organizacijskih potreb. Če lahko do storitev GitHub dostopajo le določeni oddelki, se vsak promet iz drugih delov, ki niso namenjeni tej interakciji, šteje za sumljivega. Če je na primer samo razvojna skupina pooblaščena za dostop do API-jev GitHub, lahko promet iz različnih oddelkov do teh API-jev kaže na zlonamerno dejavnost. Izvajanje te strategije zahteva podrobno poznavanje organizacijskega okolja, vključno s seznamom pooblaščenih uporabnikov in omrežnih segmentov.
Tehnike odkrivanja na podlagi storitev
Ta pristop se osredotoča na prepoznavanje nepotrebnih storitev GitHub v podjetjih. Na primer, organizacija, ki uporablja notranji strežnik Git Enterprise, morda ne potrebuje različnih zunanjih storitev GitHub. Podobno lahko v podjetjih, ki za dodeljevanje in posodabljanje nalog uporabljajo samostojne strežnike, blokiramo ali spremljamo določene gostitelje GitHub. Za to strategijo je ključno razumevanje uporabe storitev GitHub v organizaciji.
Metode odkrivanja na podlagi dnevnika
Odkrivanje na podlagi dnevnika vključuje analizo interakcij med sistemi in storitvami GitHub. Sumljive povezave je mogoče prepoznati prek dnevnikov proxyjev in revizijskih dnevnikov. Na primer:
- Spremljanje posebnih binarnih datotek Living-Off-the-Land (LOLbins), kot sta certutil ali wget, ki se uporabljata za pridobivanje plačilnih bremen iz GitHuba.
- Odkrivanje izvedljivih datotek, ki niso v brskalniku in izvajajo zahteve DNS za domene GitHub.
- Oblikovanje pravil za odkrivanje ukazov Git, ki se uporabljajo pri iznosu podatkov, kot so “remote”, “add” ali “push”, zlasti za nekorporativne domene GitHub.
- Dnevnike proxyjev lahko uporabite za odkrivanje določenih vzorcev URL s končnicami izvršilnih datotek.
Zaznava na podlagi kombinacij LIS
Ker zlonamerna programska oprema pogosto zlorablja več sistemov LIS, je lahko odkrivanje kombinacij teh storitev učinkovito. Na primer, prepoznavanje prometa na straneh GitHub, ki se preusmerjajo na druge storitve, kot so posnemovalne storitve API, lahko kaže na zlonamerno dejavnost.
Zaznava na podlagi omrežja
Ker se GitHub pogosto uporablja za dostavo koristnega bremena in DDR, je spremljanje omrežnih komunikacij za povezave z zlonamerno infrastrukturo lahko koristno. Vendar lahko ta pristop odkrije okužbe šele po tem, ko je prišlo do iznosa podatkov.
Proaktivni lov na grožnje
Proaktivni lov vključuje ročne postopke in lahko zagotovi vpogled v vedenje akterjev groženj. Tehnike vključujejo:
- Lovljenje prek uporabniških imen, skladišč in imen organizacij GitHub.
- Uporabo orodij za pregledovanje spletnih mest za prepoznavanje spletnih mest, ki gostijo zlonamerno programsko opremo in so povezana s storitvijo GitHub.
- Analiziranje zgodovine objav na GitHubu za odkrivanje podrobnosti o vektorjih, motivih in ciljih napadov akterjev groženj.
Napovedi za prihodnost
Zlorabe zakonitih internetnih storitev, kot je GitHub, se bodo po pričakovanjih povečevale, zato se morajo prilagoditi tako zagovorniki kot ponudniki storitev. Učinkovite strategije za ublažitev zahtevajo napredne metode odkrivanja, celovitejšo vidljivost in različne zorne kote odkrivanja. Poleg tega je pričakovati spremembe v lastništvu varnosti, pri čemer bi LIS lahko prevzela večjo odgovornost v boju proti zlorabam.
Zloraba storitve GitHub v zlonamerne namene poudarja ključni izziv na področju kibernetske varnosti: Izkoriščanje zaupanja vrednih, legitimnih storitev. Reševanje tega problema ne zahteva le naprednih tehnoloških rešitev, temveč tudi spremembo paradigme pristopa h kibernetski varnosti, pri čemer je treba poudariti proaktivne strategije, ki temeljijo na obveščevalnih podatkih, da bi ostali pred grožnjo.
