레이더망에서 벗어나기: 악의적인 인프라를 위한 GitHub 악용하기

사이버 범죄자와 지능형 지속 위협(APT)이 다양한 악의적인 인프라 계획을 위해 GitHub 서비스를 자주 악용하는 것에 대한 새로운 Insikt Group 연구에 대해 설명합니다. 여기에는 페이로드 전달, 데드 드롭 해결(DDR), 완전한 명령 및 제어(C2), 탈출이 포함됩니다. 위협 행위자들 사이에서 깃허브의 인기는 합법적인 네트워크 트래픽과 섞여 방어자들이 탐지 및 어트리뷰션을 어렵게 만드는 기능에 있습니다.

"생활-오프-트러스트-사이트" (LOTS) 접근 방식은 APT 사이에서 증가하는 추세로 부각되고 있으며, 덜 정교한 그룹도 이를 따라갈 것으로 예상됩니다. 이 텍스트는 방어자가 악의적으로 사용되는 것으로 알려진 특정 깃허브 서비스에 플래그를 지정하거나 차단하는 단기 전략을 제안합니다. 장기적으로 조직은 GitHub 및 기타 코드 저장소가 어떻게 악용되는지 이해하는 데 리소스를 투자하여 보다 정교한 탐지 메커니즘을 개발하는 것이 좋습니다.

2023년 3월부터 11월까지 샘플 중 악용된 깃허브 서비스 분석(출처: Recorded Future)

공격이 증가할 것으로 예상됨에 따라 합법적인 인터넷 서비스(LIS)가 고객에게 새로운 제3자 위험 벡터가 될 수 있음을 강조합니다. 완화 전략에는 고급 탐지 방법, 포괄적인 가시성, 다양한 탐지 각도가 필요할 것으로 예상됩니다. 사용자 및 사용 데이터에 대한 고유한 가시성을 활용하여 구조적 변화와 제품 혁신을 통해 남용을 방지하는 책임을 LIS로 이전할 수 있습니다.

GitHub 악용의 주요 인프라 체계는 상세히 설명되어 있으며, 구현이 쉽다는 이유로 페이로드 전달이 가장 널리 사용됩니다. 후자는 덜 일반적이지만, GitHub는 DDR, 전체 C2(APT 활동과 연결됨) 및 유출에도 일반적으로 사용됩니다. GitHub 서비스는 피싱 작업 호스팅, 리포지토리 중독 기술을 통한 감염 매개체 역할 등 다양한 악의적인 목적으로 악용되고 있습니다.

이 연구는 GitHub 악용 탐지를 위한 보편적인 솔루션이 없다는 점을 인정하며 특정 환경, 조직 구조 및 위험 허용 범위에 맞는 다양한 탐지 전략의 필요성을 강조합니다. 전반적으로, 방어자들은 깃허브 남용을 막기 위해 더 많은 리소스를 할당해야 하며, LIS는 정책 변경과 기술 혁신을 통해 이 문제를 해결하는 데 더 중요한 역할을 할 것으로 기대됩니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.