На прошлой неделе самый популярный paste-сайт в мире, Pastebin, входящий в топ-2000 самых популярных сайтов в интернете по версии Alexa, обзавелся двумя новыми функциями, которые вызвали волну критики со стороны ИБ-специалистов. Речь идет о функциях Burn After Read (самоуничтожение) и Password Protected Pastes (защита паролем), которые давно существуют на других paste-сайтах, однако до недавнего времени обходили Pastebin стороной.
We’re excited to announce 2 great new features for #Pastebin, we think you’ll enjoy using them! In the interest of #security, the first is: Burn After Read, and the second is: Password Protected Pastes. Head on over to https://t.co/K5LoklQIn8 to check them out ?️ pic.twitter.com/rQGs5PsMC9
— Pastebin (@pastebin) September 25, 2020
Проблема заключается в том, что Pastebin и без новых функций давно привлекает преступников и содержит множество нелегального контента: на сайт регулярно заливаются ворованные данные (1, 2), а хакеры используют его в качестве хостинга для малвари и кода, в качестве хранилища IP-адресов C&C-серверов и так далее (1, 2, 3).
Издание ZDNet цитирует ИБ-эксперта Теда Сэмуэльса, который рассказал о том, что злоупотребления – вовсе не редкость на Pastebin.
«На сегодня Pastebin является наиболее популярным paste-сайтом и довольно популярной площадкой для бесфайловых атак с использованием PowerShell. Например, изначальная полезная нагрузка злоумышленника может использовать PowerShell для загрузки дополнительного (и часто обфусцированого) контента с pastebin.com для дальнейшего выполнения через PowerShell. Таким образом можно загрузить даже фреймворк CobaltStrike», — говорит специалист.
Чтобы противостоять этому, многие ИБ-компании давно создали инструменты, которые скрапят новые записи на Pastebin и ищут среди них малварь и конфиденциальные данные. Затем такие вредоносные paste’ы не только индексируются и попадают в частные базы угроз, но и попадают в поле зрения администрации Pastebin,после чего удаляются.
Теперь многие эксперты всерьез обеспокоены тем, что новые функции Pastebin помешают работе подобных инструментов, отслеживать новые paste’ы в реальном времени станет намного сложнее, и Pastebin окончательно превратится в обитель преступников.
ZDNet напоминает, что отношения между Pastebin и ИБ-экспертами накалены уже давно. К примеру, весной текущего года разработчики Pastebin неожиданно объявили о прекращении поддержки Scraping API, которым специалисты пользовались для скрапинга данных и обнаружения угроз по вышеописанной схеме. После крайне негативной реакции сообщества от этой идеи было решено отказаться, но теперь, когда у хакеров появилась возможность защищать свои paste’ы паролями или уничтожать их, Scraping API все равно может стать практически бесполезен для исследователей, а ресурс превратится в совсем «непрозрачный».
При этом представители Pastebin заверили журналистов, что ввели новые функции по просьбам пользователей.
«Pastebin хранит важные данные для своих пользователей, начиная от расчетов и инженерных данных, таких как алгоритмы, логи различных сервисов, роботов, сетевых устройств и заканчивая проприетарным программным кодом. Мы получали много запросов от пользователей, которые просили реализовать данные функции из-за их права на конфиденциальность, а также чтобы помочь им защитить свою работу.
Pastebin был создан разработчиками для разработчиков и используется миллионами людей во всем мире. Конечно, на каждой платформе есть злоумышленники, которые пытаются злоупотреблять ее преимуществами, включая GitHub, Twitter, Facebook, Dropbox, Privnotes и Sendspace», — заявили в компании.
Также разработчики считают, что ИБ-эксперты излишне драматизируют, ведь в сети существуют десятки других paste-сайтов, многие их которых куда более снисходительны к злоупотреблениям на своих платформах. К тому же в компании напомнили, что они активно борются с вредоносным контентом, сотрудничают с CERT, ИБ-компаниями и правоохраниельными органами разных стран мира, а также предоставляют бесплатный доступ для исследователей и ученых.
ИБ-эксперты, в свою очередь, уже давно говорят о том, что Pastebin и другие подобные сайты должны быть заблокированы в корпоративных сетях. Ведь всем известно, что ими злоупотребляют злоумышленники, значит и относиться к таким ресурсам следует соответствующим образом.
