Un logiciel malveillant trouve un allié involontaire dans GitHub

Ce n'est pas parce que c'est sur GitHub que c'est légitime. Un groupe d'espionnage à motivation financière abuse d'un référentiel GitHub pour les communications C&C (commande et contrôle), a averti Trend Micro.

Les chercheurs ont découvert que les logiciels malveillants utilisés par Winnti, un groupe principalement connu pour cibler l'industrie du jeu en ligne, se connectaient à un compte GitHub pour obtenir l'emplacement exact de ses serveurs C&C. Le logiciel malveillant a recherché une page HTML stockée dans le projet GitHub pour obtenir la chaîne cryptée contenant l'adresse IP et le numéro de port du serveur C&C, a écrit Cedric Pernet, chercheur sur les menaces Trend Micro, sur le blog TrendLabs Security Intelligence. Il se connecterait ensuite à cette adresse IP et à ce port pour recevoir des instructions supplémentaires. Tant que le groupe maintenait la page HTML mise à jour avec les dernières informations de localisation, le logiciel malveillant serait en mesure de trouver et de se connecter au serveur C&C.

Le compte GitHub contenait 14 fichiers HTML différents, tous créés à plusieurs reprises, avec des références à près de deux douzaines de combinaisons d'adresses IP et de numéros de port. Il y avait 12 adresses IP, mais les attaquants ont alterné entre trois numéros de port différents: 53 (DNS), 80 (HTTP) et 443 (HTTPS). Trend Micro a examiné les horodatages du premier et du dernier commit sur les fichiers HTML pour déterminer que les informations du serveur C&C étaient publiées dans le projet du 17 août 2016 au 12 mars 2017.

Le compte GitHub a été créé en mai 2016 et son unique référentiel, mobile-phone-project, a été créé en juin 2016. Le projet semble être dérivé d'une autre page GitHub générique. Trend Micro pense que le compte a été créé par des attaquants eux-mêmes et n'a pas été détourné de son propriétaire d'origine.

"Nous avons divulgué en privé nos découvertes à GitHub avant cette publication et nous travaillons de manière proactive avec eux sur cette menace", a déclaré Pernet. contacté GitHub pour plus d'informations sur le projet et mettra à jour avec tous les détails supplémentaires.

GitHub n'est pas étranger à une mauvaise utilisation

Les organisations peuvent ne pas être immédiatement suspectes si elles voient beaucoup de trafic réseau pour un compte GitHub, ce qui est bon pour le malware. Cela rend également la campagne d'attaque plus résistante, car le logiciel malveillant peut toujours obtenir les dernières informations sur le serveur, même si le serveur d'origine est arrêté par une action des forces de l'ordre. Les informations sur le serveur ne sont pas codées en dur dans le malware, il sera donc plus difficile pour les chercheurs de trouver des serveurs C&C s'ils ne rencontrent que le malware.

«Abuser de plates-formes populaires telles que GitHub permet aux acteurs de la menace comme Winnti de maintenir la persistance du réseau entre les ordinateurs compromis et leurs serveurs, tout en restant sous le radar», a déclaré Pernet.

GitHub a été informé du dépôt problématique, mais c'est un domaine délicat, car le site doit faire attention à la façon dont il réagit aux rapports d'abus. Il ne veut clairement pas que son site soit utilisé par des criminels pour transmettre des logiciels malveillants ou pour commettre d'autres crimes. Les conditions d'utilisation de GitHub sont très claires à ce sujet: "Vous ne devez pas transmettre de vers, de virus ou de code de nature destructrice."

Mais il ne veut pas non plus arrêter la recherche légitime en matière de sécurité ou le développement éducatif. Le code source est un outil, et il ne peut pas être considéré comme bon ou mauvais en soi. C'est l'intention de la personne exécutant le code qui le rend bénéfique, en tant que recherche de sécurité ou utilisé à des fins de défense, ou malveillant, dans le cadre d'une attaque.

Le code source du botnet Mirai, le gigantesque botnet IoT derrière la série d'attaques par déni de service distribuées paralysantes l'automne dernier, se trouve sur GitHub. En fait, plusieurs projets GitHub hébergent le code source de Mirai, et chacun est marqué comme étant destiné à des «fins de développement de recherche / IoC [indicateurs de compromis]».

Cet avertissement semble être suffisant pour que GitHub ne touche pas au projet, bien que tout le monde puisse désormais utiliser le code et créer un nouveau botnet. La société n'articule pas sa prise de décision sur la possibilité que le code source puisse être mal utilisé, en particulier dans les cas où le code source doit d'abord être téléchargé, compilé et reconfiguré avant de pouvoir être utilisé de manière malveillante. Même dans ce cas, il ne scanne ni ne surveille les référentiels à la recherche de projets activement utilisés de manière nuisible. GitHub enquête et agit en fonction des rapports des utilisateurs.

Le même raisonnement s'applique aux projets de ransomware EDA2 et Hidden Tear. Ils ont été créés à l'origine comme preuves de concepts éducatifs et publiés sur GitHub, mais depuis lors, des variantes du code ont été utilisées dans des attaques de ransomware contre des entreprises.

Le règlement de la communauté donne un peu plus d'informations sur la manière dont GitHub évalue les projets potentiellement problématiques: "Faire partie d'une communauté implique de ne pas profiter des autres membres de la communauté. Nous n'autorisons personne à utiliser notre plate-forme pour la diffusion d'exploits, comme l'hébergement de programmes malveillants. exécutables, ou en tant qu'infrastructure d'attaque, par exemple en organisant des attaques par déni de service ou en gérant des serveurs de commande et de contrôle. Notez cependant que nous n'interdisons pas la publication de code source qui pourrait être utilisé pour développer des logiciels malveillants ou des exploits, comme la publication et la distribution d'un tel code source a une valeur éducative et fournit un avantage net à la communauté de la sécurité. "

Les cybercriminels s'appuient depuis longtemps sur des services en ligne bien connus pour héberger des logiciels malveillants afin de tromper les victimes, exécuter des serveurs de commande et de contrôle ou masquer leurs activités malveillantes des défenses de sécurité. Les spammeurs ont utilisé des raccourcisseurs d'URL pour rediriger les victimes vers des sites douteux et malveillants et les attaquants ont utilisé Google Docs ou Dropbox pour créer des pages de phishing. L'abus de services légitimes fait qu'il est difficile pour les victimes de reconnaître les attaques, mais aussi pour les exploitants de sites de comprendre comment empêcher les criminels d'utiliser leurs plates-formes.