GitHub war lange Zeit ein essenzielles Werkzeug für Entwickler und IT-Profis um gemeinsam an der Entwicklung von Code zu arbeiten. Die Plattform gilt als Drehscheibe für legale Aktivitäten wird jedoch zunehmend von Cyberkriminellen für ihre böswilligen Zwecke missbraucht. Dieser Missbrauch von legitimen Diensten, ebenfalls bekannt als "Living-off-Trusted Sites" (LOTS), macht GitHub zu einem attraktiven Ziel für Hacker, die welche Plattform nutzen um gefährliche Payloads zu hosten und als Kommandozentrale zu fungieren.
Die raffinierte Tarnung durch "Living-off-Trusted Sites" (LOTS)
Der Bericht von Recorded Future beleuchtet die Nutzung von GitHub als "Living-off-Trusted Sites" (LOTS). Diese Technik ermöglicht es Angreifern, sich im legitimen Netzwerkverkehr zu verstecken und herkömmliche Sicherheitsmaßnahmen zu umgehen. Dadurch wird es deutlich schwieriger – die Täter zu identifizieren und zu stoppen.
Vielfältige Methoden des Missbrauchs
Die Missbrauchsmethoden von GitHub als "Living-off-Trusted Sites" sind vielfältig. Von der Übertragung von Nutzdaten bis hin zur Verschleierung von Befehlen und Kontrollen dient die Plattform als perfekte Tarnung. Es wurden sogar bösartige Python-Pakete entdeckt die ein auf GitHub gehostetes Gist verwenden um bösartige Befehle auf kompromittierten Hosts zu empfangen.
Die Nutzung als Dead-Drop-Resolver und die Datenexfiltration sind ähnlich wie weit verbreitet. Dabei wird ein LOTS-GitHub-Repository verwendet um die eigentliche C2-URL zu erhalten und auch die Exfiltration von Daten über GitHub kommt vor. Die Kreativität der Angreifer kennt dabei scheinbar keine Grenzen, da sie GitHub auch für Phishing-Hosts und die Umleitung von Datenverkehr nutzen.
Teil eines allgemeinen Trends
Der Missbrauch von GitHub als "Living-off-Trusted Sites" ist Teil eines allgemeinen Trends bei dem legitime Internetdienste wie Google Drive Microsoft OneDrive oder ChatGPT von Cyberkriminellen als Werkzeuge missbraucht werden. Recorded Future betont · dass die Erkennung solcher Aktivitäten eine Mischung aus Strategien erfordert · die von spezifischen Umgebungen und Faktoren abhängen. Es gibt keine Universallösung jedoch das Bewusstsein für die Bedrohung ist entscheidend.
Anpassung der Sicherheitsmaßnahmen
GitHub-Nutzer sollten deshalb ihre Sicherheitsmaßnahmen identisch anpassen um nicht unwissentlich zur Drehscheibe für bösartige Aktivitäten zu werden. Es ist wichtig – dass die Nutzer sich der potenziellen Gefahren bewusst sind und ihre Konten und Repositories sorgfältig überwachen. Zudem sollten Sicherheitslösungen wie Antivirensoftware und Firewalls zum Einsatz kommen um das Risiko von Angriffen über GitHub zu minimieren.
Kommentare
GitHub hat sich von einer reinen Plattform für die gemeinsame Entwicklung von Code zu einem Werkzeug für Cyberkriminelle entwickelt. Die Nutzung von GitHub als "Living-off-Trusted Sites" ist ein ernst zu nehmendes Problem, das nicht zu unterschätzen ist. Die Plattform muss deshalb ihre Sicherheitsmaßnahmen weiterentwickeln um die Nutzer besser vor Missbrauch zu schützen.