Malware encuentra un aliado involuntario en GitHub

El hecho de que esté en GitHub no significa que sea legítimo. Un grupo de espionaje con motivaciones financieras está abusando de un repositorio de GitHub para comunicaciones C&C (comando y control), advirtió Trend Micro.

Los investigadores encontraron que el malware utilizado por Winnti, un grupo conocido principalmente por apuntar a la industria de los juegos en línea, se estaba conectando a una cuenta de GitHub para obtener la ubicación exacta de sus servidores C&C. El malware buscó una página HTML almacenada en el proyecto GitHub para obtener la cadena cifrada que contiene la dirección IP y el número de puerto del servidor C&C, escribió el investigador de amenazas de Trend Micro, Cedric Pernet, en el blog TrendLabs Security Intelligence. Luego se conectaría a esa dirección IP y puerto para recibir más instrucciones. Mientras el grupo mantuviera la página HTML actualizada con la información de ubicación más reciente, el malware podría encontrar y conectarse al servidor de C&C.

La cuenta de GitHub contenía 14 archivos HTML diferentes, todos creados varias veces, con referencias a casi dos docenas de combinaciones de direcciones IP y números de puerto. Había 12 direcciones IP, pero los atacantes rotaron entre tres números de puerto diferentes: 53 (DNS), 80 (HTTP) y 443 (HTTPS). Trend Micro analizó la primera y la última marca de tiempo de confirmación en los archivos HTML para determinar que la información del servidor C&C se estaba publicando en el proyecto desde el 17 de agosto de 2016 hasta el 12 de marzo de 2017.

La cuenta de GitHub se creó en mayo de 2016, y su único repositorio, mobile-phone-project, se creó en junio de 2016. El proyecto parece derivarse de otra página genérica de GitHub. Trend Micro cree que la cuenta fue creada por los propios atacantes y no ha sido secuestrada por su propietario original.

"Hemos revelado en privado nuestros hallazgos a GitHub antes de esta publicación y estamos trabajando de manera proactiva con ellos sobre esta amenaza", dijo Pernet. se comunicó con GitHub para obtener más información sobre el proyecto y se actualizará con cualquier detalle adicional.

GitHub no es ajeno al mal uso

Es posible que las organizaciones no sospechen de inmediato si ven mucho tráfico de red para una cuenta de GitHub, lo cual es bueno para el malware. También hace que la campaña de ataque sea más resistente, ya que el malware siempre puede obtener la información más reciente del servidor incluso si el servidor original se apaga debido a la acción policial. La información del servidor no está codificada en el malware, por lo que será más difícil para los investigadores encontrar servidores C&C si solo encuentran el malware.

"El abuso de plataformas populares como GitHub permite a los actores de amenazas como Winnti mantener la persistencia de la red entre las computadoras comprometidas y sus servidores, mientras permanecen fuera del radar", dijo Pernet.

GitHub ha sido notificado sobre el repositorio problemático, pero esta es un área complicada, ya que el sitio debe tener cuidado con la forma en que reacciona a los informes de abuso. Claramente, no quiere que los delincuentes utilicen su sitio para transmitir malware o cometer otros delitos. Los términos de servicio de GitHub son muy claros en eso: "No debe transmitir ningún gusano o virus ni ningún código de naturaleza destructiva".

Pero tampoco quiere cerrar la investigación de seguridad legítima o el desarrollo educativo. El código fuente es una herramienta y no puede considerarse bueno o malo por sí solo. Es la intención de la persona que ejecuta el código lo que lo hace beneficioso, como investigación de seguridad o utilizado en defensa, o malicioso, como parte de un ataque.

El código fuente de la botnet Mirai, la masiva botnet de IoT detrás de la serie de paralizantes ataques distribuidos de denegación de servicio el otoño pasado, se puede encontrar en GitHub. De hecho, varios proyectos de GitHub alojan el código fuente de Mirai, y cada uno está marcado como destinado a "Investigación / Fines de desarrollo de IoC [Indicadores de compromiso]".

Esa advertencia parece ser suficiente para que GitHub no toque el proyecto, aunque ahora cualquiera puede usar el código y crear una nueva botnet. La compañía no depende de la posibilidad de que el código fuente se use incorrectamente, especialmente en los casos en que el código fuente primero debe descargarse, compilarse y reconfigurarse antes de que se pueda usar de manera maliciosa. Incluso entonces, no escanea ni monitorea los repositorios en busca de proyectos que se estén utilizando activamente de manera dañina. GitHub investiga y actúa basándose en los informes de los usuarios.

El mismo razonamiento se aplica a los proyectos de ransomware EDA2 y Hidden Tear. Originalmente se crearon como pruebas de conceptos educativos y se publicaron en GitHub, pero desde entonces, se han utilizado variaciones del código en ataques de ransomware contra empresas.

Las Pautas de la comunidad tienen un poco más de información sobre cómo GitHub evalúa los posibles proyectos problemáticos: "Ser parte de una comunidad incluye no aprovechar a otros miembros de la comunidad. No permitimos que nadie use nuestra plataforma para la entrega de exploits, como alojar ejecutables, o como infraestructura de ataque, por ejemplo, organizando ataques de denegación de servicio o administrando servidores de comando y control. Sin embargo, tenga en cuenta que no prohibimos la publicación de código fuente que podría usarse para desarrollar malware o exploits, como la publicación y la distribución de dicho código fuente tiene valor educativo y proporciona un beneficio neto a la comunidad de seguridad ".

Los ciberdelincuentes han confiado durante mucho tiempo en servicios en línea conocidos para alojar malware con el fin de engañar a las víctimas, ejecutar servidores de comando y control u ocultar sus actividades maliciosas de las defensas de seguridad. Los spammers han utilizado acortadores de URL para redirigir a las víctimas a sitios maliciosos y poco fiables y los atacantes han utilizado Google Docs o Dropbox para crear páginas de phishing. El abuso de servicios legítimos dificulta que las víctimas reconozcan los ataques, pero también que los operadores de sitios descubran cómo evitar que los delincuentes utilicen sus plataformas.