IT之家 1 月 12 日消息,Recorded Future 旗下威脅研究部門 Insikt Group 近日發(fā)布報(bào)告,稱 2023 年越來越多的高級持續(xù)性威脅(APT)組織利用微軟 GitHub,發(fā)起“受信任網(wǎng)站的生存”(living-of-trusted-sites)攻擊。
報(bào)告指出,黑客一直鉆 Windows 系統(tǒng)的空子,利用程序和可執(zhí)行文件來獲得初始訪問權(quán)限,而現(xiàn)在這些黑客還能利用可信網(wǎng)站達(dá)到類似的目的。
Insikt 指出黑客利用 GitHub 可信網(wǎng)站發(fā)起攻擊的幾個(gè)原因:
鑒于 GitHub 在企業(yè)中的受歡迎程度以及許多企業(yè)依賴 GitHub 的事實(shí),大多數(shù)企業(yè)網(wǎng)絡(luò)都不會阻止 GitHub 域名。
利用公開認(rèn)可的 TLS 加密技術(shù),簡化了整個(gè) C2 服務(wù)器的安裝過程,從而降低了運(yùn)行開銷。
鑒于 GitHub 在惡意活動之外的合法使用情況,惡意軟件開發(fā)者對 GitHub 有著廣泛的實(shí)際經(jīng)驗(yàn)。
通過節(jié)省典型的托管或注冊費(fèi)用,降低基礎(chǔ)設(shè)施成本。
正常運(yùn)行時(shí)間長,因?yàn)?GitHub 采用冗余服務(wù)器和故障轉(zhuǎn)移機(jī)制,具有高可用性。
在 GitHub 上注冊新賬戶只需最低限度的審查(例如,注冊時(shí)不要求提供信用卡,這對復(fù)雜的 APT 來說是極大的成本節(jié)約,因?yàn)閯?chuàng)建無法追蹤的融資和支付方式既費(fèi)時(shí)又帶來不必要的復(fù)雜性)。
服務(wù)提供商的檢測可能性有限(尤其是人為控制的賬戶)。
當(dāng)威脅行為者使用合法互聯(lián)網(wǎng)服務(wù)(LIS)時(shí),向上游追蹤威脅行為者或識別受害者就變得更具挑戰(zhàn)性。更具體地說,如果追蹤工作依賴于網(wǎng)絡(luò)流量分析,那么遇到 LIS 就會成為一大障礙,使惡意流量與合法流量難以區(qū)分,從而導(dǎo)致調(diào)查工作陷入死胡同。
用于威脅建模的工具有限,針對此類基礎(chǔ)設(shè)施設(shè)置的可操作威脅情報(bào)很少。
IT之家附上完整報(bào)告地址,感興趣的用戶可以深入閱讀。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。