Võtmed kaasavõtmiseks
- Pahatahtlik tööriist surus pahavara peale, et lihtsustada Androidi rakenduste installimist Windowsis.
- Tööriist töötas nagu reklaamitud, seega ei tõstnud see esile ühtegi punast lipukest.
-
Eksperdid soovitavad inimestel käsitleda kolmandate osapoolte saitidelt allalaaditud tarkvara ülima ettevaatusega.
See, et avatud lähtekoodiga tarkvara kood on kõigile nähtav, ei tähenda, et kõik seda vaataksid.
Seda ära kasutades valisid häkkerid pahavara levitamiseks kaasa kolmanda osapoole Windows 11 ToolBoxi skripti. Pe altnäha töötab rakendus nagu reklaamitud ja aitab lisada Google Play poe Windows 11-le. Kulisside taga nakatas see aga ka arvutid, milles see töötas, igasuguse pahavaraga.
"Kui sellest võiks saada mingit nõuannet, siis Internetist väljumiseks koodi haaramine nõuab täiendavat kontrolli," ütles Huntressi vanemturbeteadur John Hammond Lifewire'ile meili teel.
Päevane rööv
Üks Windows 11 enim oodatud funktsioone oli selle võime käitada Androidi rakendusi otse Windowsist. Kuid kui funktsioon lõpuks välja anti, pidid inimesed installima käputäie kureeritud rakendusi Amazoni App Store'ist, mitte Google Play poest, nagu inimesed lootsid.
Sellest, et Androidi Windowsi alamsüsteem võimaldas inimestel rakendusi Androidi silumissilla (adb) abil külglaadida, sai veidi hingetõmbeaega, võimaldades sisuliselt installida mis tahes Androidi rakenduse operatsioonisüsteemis Windows 11.
GitHubis hakkasid peagi ilmuma rakendused, näiteks Windowsi alamsüsteem Android Toolboxi jaoks, mis lihtsustas mis tahes Androidi rakenduse installimist Windows 11-sse. Üks selline rakendus nimega Powershell Windows Toolbox pakkus ka seda võimalust koos mitmete muude võimalustega, näiteks Windows 11 installi puhitus eemaldamiseks, jõudluse parandamiseks ja palju muud.
Kuigi rakendus töötas reklaamitud viisil, käitas skript salaja ähmastatud, pahatahtlikke PowerShelli skripte, et installida trooja ja muud pahavara.
Kui selle põhjal võiks midagi soovitada, siis Internetist väljumiseks koodi haaramine nõuab täiendavat kontrolli.
Skripti kood oli avatud lähtekoodiga, kuid enne kui keegi viitsis selle koodi vaadata, et tuvastada pahavara alla laadinud ähmane kood, oli skriptil olnud sadu allalaadimisi. Kuid kuna stsenaarium töötas nii nagu reklaamitud, ei märganud keegi, et midagi oleks valesti.
Kasutades 2020. aasta SolarWindsi kampaania näidet, mis nakatas mitut valitsusasutust, arvas YouAttesti tegevjuht Garret Grajek, et häkkerid on leidnud, et parim viis pahavara meie arvutitesse toomiseks on lasta meil see ise installida.
"Olgu see siis ostetud toodete (nt SolarWinds) või avatud lähtekoodiga kaudu, kui häkkerid saavad oma koodi "legitiimsesse" tarkvarasse viia, võivad nad säästa nullpäeva häkkide ärakasutamise ja haavatavuste otsimise vaeva ja kulusid. Grajek ütles Lifewire'ile e-posti teel.
Nasser Fattah, jagatud hinnangute Põhja-Ameerika juhtkomitee esimees, lisas, et Powershelli Windowsi tööriistakasti puhul täitis trooja pahavara oma lubaduse, kuid sellel oli varjatud kulu.
"Hea trooja pahavara on selline, mis pakub kõiki võimalusi ja funktsioone, mida ta reklaamib… ja veel (pahavara), " ütles Fattah Lifewire'ile meili teel.
Fattah juhtis tähelepanu ka sellele, et Powershelli skripti kasutamine projektis oli esimene märk, mis teda hirmutas."Peame olema väga ettevaatlikud Powershelli Internetist pärit skriptide käitamisel. Häkkerid on kasutanud ja kasutavad ka edaspidi Powershelli pahavara levitamiseks," hoiatas Fattah.
Hammond nõustub. Tutvudes projekti dokumentatsiooniga, mille GitHub on nüüd võrguühenduseta kasutanud, käivitas tema jaoks hoiatuskellad soovituse käivitada administraatoriõigustega käsuliides ja käivitada koodirida, mis tõmbab ja käivitab koodi Internetist..
Jagatud vastutus
David Cundiff, Cyvatari infoturbe juht, usub, et sellel tavalisel välimusel ja pahatahtliku sisemusega tarkvaral on mitmeid õppetunde.
"Turvalisus on jagatud vastutus, nagu on kirjeldatud GitHubi enda turvalisuse lähenemisviisis, " märkis Cundiff. "See tähendab, et ükski üksus ei tohiks täielikult toetuda ahela ühele tõrkepunktile."
Lisaks soovitas ta, et kõik, kes GitHubist koodi alla laadivad, peaksid hoiatusmärkide osas silmad lahti hoidma, lisades, et olukord kordub, kui inimesed tegutsevad eeldusel, et kõik on korras, kuna tarkvara hostitakse usaldusväärne ja mainekas platvorm.
"Kuigi Github on mainekas koodijagamisplatvorm, saavad kasutajad jagada mis tahes turvatööriistu nii hea kui ka kurja jaoks," nõustus Hammond.
