Perangkat lunak perusak menemukan sekutu tanpa disadari di GitHub

Hanya karena ada di GitHub bukan berarti itu sah. Sebuah kelompok spionase yang bermotivasi finansial menyalahgunakan penyimpanan GitHub untuk komunikasi C&C (perintah dan kendali), Trend Micro memperingatkan.

Para peneliti menemukan malware yang digunakan oleh Winnti, sebuah grup yang terutama dikenal untuk menargetkan industri game online, terhubung ke akun GitHub untuk mendapatkan lokasi yang tepat dari server C&C-nya. Malware tersebut mencari halaman HTML yang disimpan di proyek GitHub untuk mendapatkan string terenkripsi yang berisi alamat IP dan nomor port untuk server C&C, tulis peneliti ancaman Trend Micro Cedric Pernet di blog TrendLabs Security Intelligence. Itu kemudian akan terhubung ke alamat IP dan port itu untuk menerima instruksi lebih lanjut. Selama grup terus memperbarui halaman HTML dengan informasi lokasi terbaru, malware akan dapat menemukan dan terhubung ke server C&C.

Akun GitHub berisi 14 file HTML yang berbeda, semuanya dibuat dalam waktu yang berbeda-beda, dengan referensi ke hampir dua lusin kombinasi alamat IP dan nomor port. Ada 12 alamat IP, tetapi penyerang memutar antara tiga nomor port berbeda: 53 (DNS), 80 (HTTP), dan 443 (HTTPS). Trend Micro melihat stempel waktu commit pertama dan terakhir pada file HTML untuk menentukan bahwa informasi server C&C telah diposting ke proyek dari 17 Agustus 2016 hingga 12 Maret 2017.

Akun GitHub dibuat pada Mei 2016, dan satu-satunya repositori, proyek-telepon-seluler, dibuat pada Juni 2016. Proyek tersebut tampaknya berasal dari laman GitHub umum lainnya. Trend Micro yakin bahwa akun tersebut dibuat oleh penyerang itu sendiri dan tidak dibajak dari pemilik aslinya.

"Kami secara pribadi telah mengungkapkan temuan kami kepada GitHub sebelum publikasi ini dan secara proaktif bekerja sama dengan mereka tentang ancaman ini," kata Pernet. menghubungi GitHub untuk informasi lebih lanjut tentang proyek ini dan akan memperbarui dengan detail tambahan.

GitHub tidak asing lagi dengan penyalahgunaan

Organisasi mungkin tidak langsung curiga jika mereka melihat banyak lalu lintas jaringan untuk akun GitHub, yang bagus untuk malware. Itu juga membuat kampanye serangan lebih tangguh, karena malware selalu dapat memperoleh informasi server terbaru bahkan jika server asli ditutup oleh tindakan penegak hukum. Informasi server tidak di-hardcode di malware, jadi akan lebih sulit bagi peneliti untuk menemukan server C&C jika mereka menemukan malware saja.

"Menyalahgunakan platform populer seperti GitHub memungkinkan pelaku ancaman seperti Winnti untuk mempertahankan persistensi jaringan antara komputer yang disusupi dan server mereka, sambil tetap berada di bawah radar," kata Pernet.

GitHub telah diberi tahu tentang repositori yang bermasalah, tetapi ini adalah area yang rumit, karena situs harus berhati-hati dalam bereaksi terhadap laporan penyalahgunaan. Itu jelas tidak ingin situsnya digunakan oleh penjahat untuk mengirimkan malware atau untuk melakukan kejahatan lainnya. Persyaratan layanan GitHub sangat jelas menyatakan bahwa: "Anda tidak boleh mengirimkan worm atau virus atau kode apa pun yang bersifat merusak."

Tetapi juga tidak ingin menghentikan penelitian keamanan atau pengembangan pendidikan yang sah. Kode sumber adalah alat, dan tidak dapat dianggap baik atau buruk dengan sendirinya. Maksud orang yang menjalankan kode itulah yang membuatnya bermanfaat, sebagai penelitian keamanan atau digunakan untuk pertahanan, atau jahat, sebagai bagian dari serangan.

Kode sumber untuk botnet Mirai, botnet IoT besar di balik rangkaian serangan penolakan layanan terdistribusi yang melumpuhkan musim gugur lalu, dapat ditemukan di GitHub. Faktanya, beberapa proyek GitHub menghosting kode sumber Mirai, dan masing-masing ditandai sebagai ditujukan untuk "Tujuan Pengembangan Penelitian / IoC [Indikator Kompromi]."

Peringatan itu tampaknya cukup bagi GitHub untuk tidak menyentuh proyek tersebut, meskipun sekarang siapa pun dapat menggunakan kode tersebut dan membuat botnet baru. Perusahaan tidak bergantung pada pengambilan keputusannya pada kemungkinan bahwa kode sumber dapat disalahgunakan, terutama dalam kasus di mana kode sumber pertama-tama perlu diunduh, dikompilasi, dan dikonfigurasi ulang sebelum dapat digunakan secara jahat. Bahkan kemudian, itu tidak memindai atau memantau repositori mencari proyek yang secara aktif digunakan dengan cara yang berbahaya. GitHub menyelidiki dan bertindak berdasarkan laporan dari pengguna.

Alasan yang sama berlaku untuk proyek ransomware EDA2 dan Hidden Tear. Mereka awalnya dibuat sebagai bukti konsep pendidikan dan diposting di GitHub, tetapi sejak itu, variasi kode telah digunakan dalam serangan ransomware terhadap perusahaan.

Pedoman Komunitas memiliki lebih banyak wawasan tentang bagaimana GitHub mengevaluasi proyek yang berpotensi bermasalah: "Menjadi bagian dari komunitas termasuk tidak memanfaatkan anggota komunitas lainnya. Kami tidak mengizinkan siapa pun menggunakan platform kami untuk mengeksploitasi pengiriman, seperti menghosting yang berbahaya executable, atau sebagai infrastruktur serangan, misalnya dengan mengatur serangan penolakan layanan atau mengelola server perintah dan kontrol. Namun, perlu diketahui bahwa kami tidak melarang pengeposan kode sumber yang dapat digunakan untuk mengembangkan malware atau eksploitasi, sebagai publikasi dan distribusi kode sumber tersebut memiliki nilai pendidikan dan memberikan manfaat bersih bagi komunitas keamanan. "

Penjahat dunia maya telah lama mengandalkan layanan online terkenal untuk menghosting malware untuk mengelabui korban, menjalankan server perintah dan kontrol, atau menyembunyikan aktivitas jahat mereka dari pertahanan keamanan. Pelaku spam telah menggunakan penyingkat URL untuk mengarahkan korban ke situs yang cerdik dan berbahaya dan penyerang telah menggunakan Google Docs atau Dropbox untuk membuat halaman phishing. Penyalahgunaan layanan yang sah menyulitkan para korban untuk mengenali serangan, tetapi juga bagi operator situs untuk mencari tahu cara mencegah penjahat menggunakan platform mereka.