Hacker nutzen Github für Living-Off-Trusted-Sites Angriffe

GitHub, das weltweit als Plattform für kollaborative Kodierung und Versionskontrolle bekannt ist, ist zunehmend in das Visier von Cyberkriminellen und fortgeschrittenen anhaltenden Bedrohungen (Advanced Persistent Threats, APTs) geraten. Diese Akteure nutzen die Plattform für eine Vielzahl von bösartigen Infrastrukturschemata. Dieses Phänomen wird als “Living-Off-Trusted-Sites” (LOTS) bezeichnet, eine Anspielung auf die “Living-Off-The-Land"-Techniken (LotL), die häufig von Bedrohungsakteuren eingesetzt werden, um ruchloses Verhalten zu verbergen und unter dem Radar zu bleiben.

Eine der hauptsächlichen Missbrauchsformen von GitHub ist die Auslieferung von Schadsoftware. Dabei nutzen Angreifer die Plattform, um bösartige Befehle über heimlich gehostete Gists an kompromittierte Hosts zu senden. Obwohl vollständige Command-and-Control (C2)-Implementierungen in GitHub im Vergleich zu anderen Infrastrukturschemata ungewöhnlich sind, ist die Nutzung der Plattform als Dead Drop Resolver, bei dem Informationen aus einem von einem Angreifer kontrollierten GitHub-Repository verwendet werden, um die eigentliche C2-URL zu erhalten, deutlich häufiger.

Neben der Verwendung für Schadsoftware-Lieferung und C2-Infrastruktur wurde GitHub auch für Datenexfiltration missbraucht, obwohl dies aufgrund von Dateigrößenbeschränkungen und Entdeckungsrisiken seltener vorkommt. Weitere Verwendungen umfassen die Nutzung von GitHub Pages als Phishing-Hosts oder Traffic-Umleiter und die Verwendung eines GitHub-Repositorys als Backup-C2-Kanal.

Die Herausforderung besteht darin, Missbrauch auf GitHub zu erkennen, da Angreifer die Plattform nutzen, um sich vor Erkennung zu verbergen. Das Erkennen solchen Missbrauchs innerhalb einer spezifischen Umgebung hängt von Faktoren wie der Verfügbarkeit von Protokollen, Organisationsstruktur und Risikotoleranz ab. Ein maßgeschneiderter Ansatz, der mehrere Erkennungsstrategien kombiniert, ist notwendig.

Tags :

Related Posts

Vernetzte Akkuschrauber von Bosch-Rexroth leicht zu hacken

Kürzliche Untersuchungen haben bedeutende Sicherheitslücken in den vernetzten Werkzeugen von Bosch Rexroth aufgezeigt, insbesondere beim NXA015S-36V-B, einem pneumatischen Drehmomentschlüssel oder Schrauber, der oft in der Automobilindustrie verwendet wird. Diese Schwachstellen könnten potenziell von Hackern ausgenutzt werden, um Ransomware-Angriffe zu starten oder Betriebsunterbrechungen zu verursachen.

Read More

Living-Off-The-Land Attacken

“Living-Off-The-Land” (LotL) ist ein Begriff, der in der Cybersicherheit verwendet wird, um die Taktik zu beschreiben, bei der Angreifer legitime, in einem System bereits vorhandene Tools oder Funktionen nutzen, um Angriffe durchzuführen und zu verbergen. Diese Technik ist besonders tückisch, da sie auf vertrauenswürdige Software und Prozesse zurückgreift, die in den meisten IT-Umgebungen vorhanden sind. Das macht es für Sicherheitssysteme und -experten schwieriger, bösartige Aktivitäten zu erkennen.

Read More

FraudGPT: das Chat-GPT für Kriminelle ist nun im Darknet

FraudGPT ist ein neues und besorgniserregendes Phänomen, das im Darknet und über Telegram verbreitet wird. Dieser unmoderierte Chatbot ist speziell auf kriminelle Inhalte trainiert und besitzt Fähigkeiten, die in der Cyberkriminalität eingesetzt werden können. Zu diesen Fähigkeiten gehören das Schreiben von Phishing-Mails, die Entwicklung anderer Angriffs-Tools und die Unterstützung bei der Auswahl geeigneter Opfer für Angriffe. Im Gegensatz zu ChatGPT, das über eingebaute Sicherheitsmechanismen verfügt, fehlen solche Schutzmaßnahmen bei FraudGPT.

Read More