A legfontosabb elvitelek
- Egy rosszindulatú eszköz kiszorította a rosszindulatú programokat az Android-alkalmazások Windows rendszerben való telepítésének egyszerűsítése álcájában.
- Az eszköz a hirdetett módon működött, így nem emelt piros zászlót.
-
A szakértők azt javasolják, hogy a harmadik felek webhelyeiről letöltött szoftvereket a lehető legnagyobb körültekintéssel kezeljék.
Csak azért, mert a nyílt forráskódú szoftver kódja bárki számára elérhető, ez nem jelenti azt, hogy mindenki megnézi.
Ezt kihasználva a hackerek egy harmadik féltől származó Windows 11 ToolBox szkriptet választottak a rosszindulatú programok terjesztéséhez. A felszínen az alkalmazás a hirdetett módon működik, és segít hozzáadni a Google Play Áruházat a Windows 11 rendszerhez. A színfalak mögött azonban a számítógépeket is megfertőzte mindenféle rosszindulatú programmal.
"Ha ebből bármiféle tanácsot lehet venni, akkor az az, hogy az internetről való lefuttatáshoz szükséges kód megragadása további vizsgálatot igényel" - mondta John Hammond, a Huntress vezető biztonsági kutatója a Lifewire-nek e-mailben.
Nappali rablás
A Windows 11 egyik legjobban várt funkciója az volt, hogy képes Android-alkalmazásokat közvetlenül a Windows rendszerből futtatni. Amikor azonban a funkció végre megjelent, az emberek csak néhány kiválasztott alkalmazást telepítettek az Amazon App Store-ból, és nem a Google Play Áruházból, ahogy azt az emberek remélték.
Volt némi haladék, amióta a Windows Android-alrendszer lehetővé tette az alkalmazások oldalirányú betöltését az Android Debug Bridge (adb) segítségével, ami lényegében lehetővé tette bármely Android-alkalmazás telepítését a Windows 11 rendszerben.
Hamarosan megjelentek az alkalmazások a GitHubon, mint például a Windows Subsystem for Android Toolbox, amely leegyszerűsítette bármely Android-alkalmazás telepítését a Windows 11 rendszerben. Az egyik ilyen alkalmazás, a Powershell Windows Toolbox, számos más lehetőség mellett felajánlotta a lehetőséget. például, hogy eltávolítsa a duzzanatot a Windows 11 telepítéséből, javítsa a teljesítményt, és így tovább.
Azonban, miközben az alkalmazás a hirdetett módon működött, a szkript titokban egy sor zavart, rosszindulatú PowerShell-szkriptet futtatott egy trójai és más rosszindulatú programok telepítéséhez.
Ha ebből bármiféle tanácsot lehetne venni, akkor az az, hogy az internetről való lefuttatáshoz szükséges kód megragadása fokozott ellenőrzést igényel.
A szkript kódja nyílt forráskódú volt, de mielőtt bárki belegondolt volna a kódjába, hogy észrevegye a rosszindulatú programot letöltő zavart kódot, a szkript letöltések százait érte el. De mivel a forgatókönyv a hirdetett módon működött, senki sem vette észre, hogy valami nincs rendben.
A 2020-as SolarWinds kampány példáját használva, amely több kormányzati ügynökséget is megfertőzött, Garret Grajek, a YouAttest vezérigazgatója úgy vélekedett, hogy a hackerek rájöttek arra, hogy mi magunk telepítsük a rosszindulatú programokat a legjobb módon.
"Legyen szó megvásárolt termékekről, például a SolarWindsről vagy nyílt forráskódról, ha a hackerek be tudják juttatni a kódjukat "legitim" szoftverbe, megtakaríthatják a nulladik napi feltörések kihasználásával és a sebezhetőségek keresésével járó erőfeszítéseket és költségeket." Grajek e-mailben elmondta a Lifewire-nek.
Nasser Fattah, a Shared Assessments észak-amerikai irányítóbizottságának elnöke hozzátette, hogy a Powershell Windows Toolbox esetében a trójai kártevő beváltotta ígéretét, de rejtett költsége volt.
"A jó trójai rosszindulatú program az, amely biztosítja az általa hirdetett összes képességet és funkciót… plusz még több (rosszindulatú program)" – mondta Fattah a Lifewire-nek e-mailben.
Fattah arra is rámutatott, hogy a projekt Powershell-szkriptjének használata volt az első jel, ami megrémítette."Nagyon óvatosnak kell lennünk az internetről származó Powershell-szkriptek futtatásakor. A hackerek a Powershell-t használják és továbbra is kihasználják rosszindulatú programok terjesztésére" - figyelmeztetett Fattah.
Hammond egyetért. A GitHub által immár offline állapotba került projekt dokumentációját áttekintve az a javaslat, hogy indítson rendszergazdai jogosultságokkal rendelkező parancsi felületet, és futtasson egy kódsort, amely lekéri és futtatja a kódot az internetről, ez az, ami beindította számára a figyelmeztető harangokat..
Megosztott felelősség
David Cundiff, a Cyvatar információbiztonsági igazgatója úgy véli, hogy az emberek számos leckét vonhatnak le ebből a normális megjelenésű, rosszindulatú belsővel rendelkező szoftverből.
"A biztonság a GitHub saját biztonsági megközelítésében leírtak szerint megosztott felelősség" - mutatott rá Cundiff. "Ez azt jelenti, hogy egyetlen entitás sem hagyatkozhat teljes mértékben a lánc egyetlen hibapontjára."
Továbbá azt tanácsolta, hogy bárki, aki kódot tölt le a GitHubról, tartsa a szemét a figyelmeztető jelek után, hozzátéve, hogy a helyzet megismétlődik, ha az emberek azt feltételezik, hogy minden rendben lesz, mivel a szoftvert megbízható és jó hírű platform.
"Bár a Github egy jó hírű kódmegosztó platform, a felhasználók megoszthatnak bármilyen biztonsági eszközt a jó és a rossz érdekében is" - értett egyet Hammond.
