На прошлой неделе самый популярный paste-сайт в мире, Pastebin, входящий в топ-2000 самых популярных сайтов в интернете по версии Alexa, обзавелся двумя новыми функциями, которые вызвали волну критики со стороны ИБ-специалистов. Речь идет о функциях Burn After Read (самоуничтожение) и Password Protected Pastes (защита паролем), которые давно существуют на других paste-сайтах, однако до недавнего времени обходили Pastebin стороной.

Проблема заключается в том, что Pastebin и без новых функций давно привлекает преступников и содержит множество нелегального контента: на сайт регулярно заливаются ворованные данные (1, 2), а хакеры используют его в качестве хостинга для малвари и кода, в качестве хранилища IP-адресов C&C-серверов и так далее (1, 2, 3).

Издание ZDNet цитирует ИБ-эксперта Теда Сэмуэльса, который рассказал о том, что злоупотребления – вовсе не редкость на Pastebin.

«На сегодня Pastebin является наиболее популярным paste-сайтом и довольно популярной площадкой для бесфайловых атак с использованием PowerShell. Например, изначальная полезная нагрузка злоумышленника может использовать PowerShell для загрузки дополнительного (и часто обфусцированого) контента с pastebin.com для дальнейшего выполнения через PowerShell. Таким образом можно загрузить даже фреймворк CobaltStrike», — говорит специалист.

Чтобы противостоять этому, многие ИБ-компании давно создали инструменты, которые скрапят новые записи на Pastebin и ищут среди них малварь и конфиденциальные данные. Затем такие вредоносные paste’ы не только индексируются и попадают в частные базы угроз, но и попадают в поле зрения администрации Pastebin,после чего удаляются.

Теперь многие эксперты всерьез обеспокоены тем, что новые функции Pastebin помешают работе подобных инструментов, отслеживать новые paste’ы в реальном времени станет намного сложнее, и Pastebin окончательно превратится в обитель преступников.

ZDNet напоминает, что отношения между Pastebin и ИБ-экспертами накалены уже давно. К примеру, весной текущего года разработчики Pastebin неожиданно объявили о прекращении поддержки Scraping API, которым специалисты пользовались для скрапинга данных и обнаружения угроз по вышеописанной схеме. После крайне негативной реакции сообщества от этой идеи было решено отказаться, но теперь, когда у хакеров появилась возможность защищать свои paste’ы паролями или уничтожать их, Scraping API все равно может стать практически бесполезен для исследователей, а ресурс превратится в совсем «непрозрачный».

При этом представители Pastebin заверили журналистов, что ввели новые функции по просьбам пользователей.

«Pastebin хранит важные данные для своих пользователей, начиная от расчетов и инженерных данных, таких как алгоритмы, логи различных сервисов, роботов, сетевых устройств и заканчивая проприетарным программным кодом. Мы получали много запросов от пользователей, которые просили реализовать данные функции из-за их права на конфиденциальность, а также чтобы помочь им защитить свою работу.

Pastebin был создан разработчиками для разработчиков и используется миллионами людей во всем мире. Конечно, на каждой платформе есть злоумышленники, которые пытаются злоупотреблять ее преимуществами, включая GitHub, Twitter, Facebook, Dropbox, Privnotes и Sendspace», — заявили в компании.

Также разработчики считают, что ИБ-эксперты излишне драматизируют, ведь в сети существуют десятки других paste-сайтов, многие их которых куда более снисходительны к злоупотреблениям на своих платформах. К тому же в компании напомнили, что они активно борются с вредоносным контентом, сотрудничают с CERT, ИБ-компаниями и правоохраниельными органами разных стран мира, а также предоставляют бесплатный доступ для исследователей и ученых.

ИБ-эксперты, в свою очередь, уже давно говорят о том, что Pastebin и другие подобные сайты должны быть заблокированы в корпоративных сетях. Ведь всем известно, что ими злоупотребляют злоумышленники, значит и относиться к таким ресурсам следует соответствующим образом.

1 комментарий

  1. Аватар

    Sudden

    01.10.2020 в 01:49

    =)))))))) Наконец-то!

Оставить мнение