Hackers Abusando do GitHub para Evadir Detecção e Controlar Hosts Comprometidos
20 de Dezembro de 2023

Os atores de ameaças estão cada vez mais usando o GitHub para fins maliciosos através de métodos inovadores, incluindo o abuso de Gists secretos e emitindo comandos maliciosos através de mensagens de commit git.

"Os autores de malware ocasionalmente colocam suas amostras em serviços como Dropbox, Google Drive, OneDrive e Discord para hospedar malware de segunda etapa e contornar as ferramentas de detecção", disse o pesquisador da ReversingLabs, Karlo Zanki.

"Mas recentemente, observamos o uso crescente da plataforma de desenvolvimento de código aberto GitHub para hospedagem de malware".

Os serviços públicos legítimos são conhecidos por serem usados por agentes de ameaças para hospedagem de malware e atuação como resolutores de dead drop para buscar o atual endereço de comando e controle (C2).

Embora o uso de fontes públicas para C2 não as torne imunes a desligamentos, elas oferecem o benefício de permitir que os agentes de ameaças criem facilmente infraestrutura de ataque que seja barata e confiável.

Esta técnica é astuta porque permite que os autores de ameaças combinem seu tráfego de rede malicioso com comunicações genuínas dentro de uma rede comprometida, tornando desafiador detectar e responder às ameaças de maneira eficaz.

Como resultado, a chance de um ponto de extremidade infectado se comunicando com um repositório GitHub ser marcado como suspeito é menos provável.

O abuso dos gists do GitHub aponta para uma evolução desta tendência.

Gists, que não são nada além de repositórios, oferecem uma maneira fácil para os desenvolvedores compartilharem trechos de código com outras pessoas.

Vale a pena observar nesta etapa que os gists públicos aparecem no feed Discover do GitHub, enquanto os gists secretos, embora não sejam acessíveis via Discover, podem ser compartilhados com outros compartilhando sua URL.

"Porém, se alguém que você não conhece descobre a URL, também será capaz de ver o seu gist", observa o GitHub em sua documentação.

"Se você precisa manter seu código longe de olhos curiosos, pode querer criar um repositório privado em vez disso".

Outro aspecto interessante dos gists secretos é que eles não são exibidos na página de perfil do GitHub do autor, permitindo que os autores de ameaças os utilizem como uma espécie de serviço de pastebin.

A ReversingLabs disse que identificou vários pacotes PyPI - a saber, httprequesthub, pyhttpproxifier, libsock, libproxy e libsocks5 - que se disfarçavam de bibliotecas para manusear proxys de rede, mas continham uma URL codificada em Base64 apontando para um gist secreto hospedado em uma conta GitHub descartável sem quaisquer projetos de frente para o público.

O gist, por sua vez, apresenta comandos codificados em Base64 que são analisados e executados em um novo processo através do código malicioso presente no arquivo setup.py dos pacotes falsificados.

O uso de gists secretos para entregar comandos maliciosos a hosts comprometidos foi anteriormente destacado pela Trend Micro em 2019 como parte de uma campanha que distribui um backdoor chamado SLUB (abreviação de SLack e githUB).

Uma segunda técnica observada pela empresa de segurança da cadeia de suprimentos de software envolve a exploração de recursos do sistema de controle de versão, confiando nas mensagens de commit do git para extrair comandos para execução no sistema.

O pacote PyPI, chamado easyhttprequest, incorpora código malicioso que "clona um repositório git específico do GitHub e verifica se o 'head' deste repositório contém uma mensagem de commit que começa com uma string específica", disse Zanki.

"Se sim, ele retira essa string mágica e decodifica o restante da mensagem de commit codificada em Base64, executando-a como um comando Python em um novo processo".

O repositório GitHub que é clonado é um fork de um aparentemente legítimo projeto PySocks, e não tem nenhuma mensagem de commit git maliciosa.

Todos os pacotes fraudulentos foram agora removidos do repositório do Python Package Index (PyPI).

"Usar o GitHub como infraestrutura C2 não é novo por si só, mas o abuso de recursos como Gists do Git e mensagens de commit para a entrega de comandos são abordagens novas usadas por atores maliciosos", disse Zanki.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...