Unter dem Radar fliegen: GitHub für bösartige Infrastruktur missbrauchen

Eine neue Studie der Insikt Group befasst sich mit dem häufigen Missbrauch der Dienste von GitHub durch Cyberkriminelle und Advanced Persistent Threats (APTs) für verschiedene bösartige Infrastrukturpläne. Hierzu gehören die Bereitstellung von Nutzlasten, die Lösung von Dead Drops (DDR), die vollständige Befehls- und Kontrollfunktion (C2) und die Exfiltration. Die Beliebtheit von GitHub unter Bedrohungsakteuren beruht auf der Möglichkeit, sich in den legitimen Netzwerkverkehr einzufügen, was die Erkennung und Zuordnung für Verteidiger zu einer Herausforderung macht.

Der „Living-off-Trusted-Sites“-Ansatz (LOTS) gilt als wachsender Trend unter APTs und es wird erwartet, dass weniger versierte Gruppen diesem Beispiel folgen. Der Text schlägt Verteidigern eine kurzfristige Strategie vor, bestimmte GitHub-Dienste, von denen bekannt ist, dass sie böswillig verwendet werden, zu kennzeichnen oder zu blockieren. Langfristig werden Unternehmen ermutigt, Ressourcen in das Verständnis des Missbrauchs von GitHub und anderen Code-Repositories zu investieren, um ausgefeiltere Erkennungsmechanismen zu entwickeln.

Aufschlüsselung der missbrauchten GitHub-Dienste unter den Stichproben von März bis November 2023 (Quelle: Recorded Future)

Da mit einer Zunahme der Angriffe zu rechnen ist, wird im Text betont, dass legitime Internetdienste (LIS) einen neuen Risikovektor durch Dritte für Kunden darstellen werden. Minderungsstrategien erfordern voraussichtlich fortschrittliche Erkennungsmethoden, umfassende Sichtbarkeit und unterschiedliche Erkennungswinkel. Durch strukturelle Änderungen und Produktinnovationen könnte die Verantwortung für die Missbrauchsbekämpfung auf die LIS verlagert werden, wobei diese ihre einzigartige Transparenz in Bezug auf Benutzer- und Nutzungsdaten nutzen könnten.

Die wichtigsten Infrastrukturschemata für den Missbrauch von GitHub werden detailliert beschrieben. Die Nutzlastübermittlung ist aufgrund ihrer einfachen Implementierung am weitesten verbreitet. GitHub wird auch häufig für DDR, vollständiges C2 (im Zusammenhang mit APT-Aktivitäten) und Exfiltration verwendet, obwohl Letzteres weniger verbreitet ist. GitHub-Dienste werden für verschiedene andere böswillige Zwecke missbraucht, einschließlich des Hostens von Phishing-Operationen und als Infektionsvektor durch Repository-Poisoning-Techniken.

Die Studie bestätigt, dass es keine universelle Lösung zur Erkennung von GitHub-Missbrauch gibt, und betont die Notwendigkeit eines Mixes aus Erkennungsstrategien, die auf spezifische Umgebungen, Organisationsstrukturen und Risikotoleranzen zugeschnitten sind. Insgesamt werden die Verteidiger dringend aufgefordert, mehr Ressourcen für die Bekämpfung des GitHub-Missbrauchs bereitzustellen. Außerdem wird erwartet, dass LIS durch Richtlinienänderungen und technische Neuerungen eine wichtigere Rolle bei der Lösung des Problems spielt.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.