GitHub, das weltweit als Plattform für kollaborative Kodierung und Versionskontrolle bekannt ist, ist zunehmend in das Visier von Cyberkriminellen und fortgeschrittenen anhaltenden Bedrohungen (Advanced Persistent Threats, APTs) geraten. Diese Akteure nutzen die Plattform für eine Vielzahl von bösartigen Infrastrukturschemata. Dieses Phänomen wird als „Living-Off-Trusted-Sites“ (LOTS) bezeichnet, eine Anspielung auf die „Living-Off-The-Land„-Techniken (LotL), die häufig von Bedrohungsakteuren eingesetzt werden, um ruchloses Verhalten zu verbergen und unter dem Radar zu bleiben.
Eine der hauptsächlichen Missbrauchsformen von GitHub ist die Auslieferung von Schadsoftware. Dabei nutzen Angreifer die Plattform, um bösartige Befehle über heimlich gehostete Gists an kompromittierte Hosts zu senden. Obwohl vollständige Command-and-Control (C2)-Implementierungen in GitHub im Vergleich zu anderen Infrastrukturschemata ungewöhnlich sind, ist die Nutzung der Plattform als Dead Drop Resolver, bei dem Informationen aus einem von einem Angreifer kontrollierten GitHub-Repository verwendet werden, um die eigentliche C2-URL zu erhalten, deutlich häufiger.
Neben der Verwendung für Schadsoftware-Lieferung und C2-Infrastruktur wurde GitHub auch für Datenexfiltration missbraucht, obwohl dies aufgrund von Dateigrößenbeschränkungen und Entdeckungsrisiken seltener vorkommt. Weitere Verwendungen umfassen die Nutzung von GitHub Pages als Phishing-Hosts oder Traffic-Umleiter und die Verwendung eines GitHub-Repositorys als Backup-C2-Kanal.
Die Herausforderung besteht darin, Missbrauch auf GitHub zu erkennen, da Angreifer die Plattform nutzen, um sich vor Erkennung zu verbergen. Das Erkennen solchen Missbrauchs innerhalb einer spezifischen Umgebung hängt von Faktoren wie der Verfügbarkeit von Protokollen, Organisationsstruktur und Risikotoleranz ab. Ein maßgeschneiderter Ansatz, der mehrere Erkennungsstrategien kombiniert, ist notwendig.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: