根据Recorded Future最近的一份报告,开发者平台GitHub最近已成为黑客用来托管和传播恶意软件的流行工具。该平台为攻击者提供了将其行为伪装成合法网络流量的能力,这使得跟踪和确定攻击者的身份变得困难。
专家将这一策略称为“Living Off Trusted Sites”(LOTS),它是“Living off the Land”(LotL)技术的一种修改版本,攻击者经常使用这种技术来隐藏恶意活动。
滥用GitHub的最常见方式之一是传播恶意软件。例如,ReversingLabs在上个月发布的报告中提到了一些伪造的Python包,这些包通过秘密的GitHub存储库接收恶意命令。
尽管GitHub上的治理系统的完整实施相对较少见,但将该平台用作“死箱”以获取治理服务器的URL则更为普遍。虽然使用GitHub上传数据的情况相对罕见,但仍有记录表明这是由于文件大小限制和对被发现的担忧。根据Recorded Future的说法,这一现象依然存在。
除了上述方案外,攻击者还经常通过多种方式利用GitHub。这包括将GitHub Pages用作网络钓鱼或流量重定向主机,以及作为备份控制通道。
Recorded Future的报告强调了攻击者借助合法互联网服务的整体趋势,其中包括Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase、Trello、Discord以及各种源代码管理平台(如GitLab、BitBucket、Codeberg)。
Recorded Future指出,对流行服务的滥用检测目前还没有通用解决方案。在这方面,需要结合不同的检测策略,具体取决于环境特征、日志可用性、组织结构、服务使用模式和风险级别。
转自安全客,原文链接:https://www.anquanke.com/post/id/292638
暂无评论内容