Keeawayt
- Haitallinen työkalu työnsi haittaohjelmia siinä varjossa, että se yksinkertaisti Android-sovellusten asennusta Windowsiin.
- Työkalu toimi ilmoitetulla tavalla, joten se ei nostanut punaisia lippuja.
-
Asiantuntijat suosittelevat, että ihmiset käsittelevät kaikkia kolmansien osapuolien sivustoilta ladattuja ohjelmistoja äärimmäisen huolellisesti.
Vain koska avoimen lähdekoodin ohjelmiston koodi on kaikkien nähtävillä, se ei tarkoita, että kaikki katsoisivat sitä.
Hyödyntämällä tätä hakkerit valitsivat kolmannen osapuolen Windows 11 ToolBox -skriptin haittaohjelmien levittämiseen. Pinn alta katsottuna sovellus toimii mainostetulla tavalla ja auttaa lisäämään Google Play Kaupan Windows 11:een. Kulissien takana se kuitenkin tarttui myös tietokoneisiin, joissa se oli käynnissä, kaikenlaisilla haittaohjelmilla.
"Jos tästä voidaan ottaa neuvoja, niin se, että koodin nappaaminen pois Internetistä vaatii ylimääräistä tarkastelua", John Hammond, Huntressin vanhempi tietoturvatutkija, kertoi Lifewirelle sähköpostitse.
Päiväryöstö
Yksi Windows 11:n innokkaimmin odotetuista ominaisuuksista oli sen kyky suorittaa Android-sovelluksia suoraan Windowsista. Kun ominaisuus lopulta julkaistiin, ihmiset kuitenkin saivat asentaa kourallisen kuratoituja sovelluksia Amazon App Storesta eivätkä Google Play Kaupasta, kuten ihmiset olivat toivoneet.
Oli hengähdystauko, koska Androidin Windows-alijärjestelmä salli ihmisten ladata sovelluksia sivulta Android Debug Bridgen (adb) avulla, mikä mahdollistaa kaikkien Android-sovellusten asennuksen Windows 11:ssä.
Sovelluksia alkoi pian ilmestyä GitHubiin, kuten Windows Subsystem for Android Toolbox, joka yksinkertaisti minkä tahansa Android-sovelluksen asentamista Windows 11:een. Yksi tällainen sovellus nimeltä Powershell Windows Toolbox tarjosi myös mahdollisuuden useiden muiden vaihtoehtojen ohella, esimerkiksi poistaaksesi turvotuksen Windows 11 -asennuksesta, parantaaksesi sen suorituskykyä ja paljon muuta.
Kuitenkin, vaikka sovellus toimi mainostetulla tavalla, skripti käytti salaa sarjaa hämärtyneitä, haitallisia PowerShell-skriptejä troijalaisen ja muiden haittaohjelmien asentamiseksi.
Jos tästä voidaan ottaa neuvoja, niin koodin nappaaminen Internetistä vaatii lisätarkastelua.
Komentosarjan koodi oli avoimen lähdekoodin, mutta ennen kuin kukaan vaivautui katsomaan sen koodia havaitakseen haittaohjelman ladaneen hämärän koodin, skripti oli latautunut satoja. Mutta koska käsikirjoitus toimi ilmoitetulla tavalla, kukaan ei huomannut, että jotain oli vialla.
Vuoden 2020 SolarWinds-kampanjan esimerkkiä käyttäen, joka tartutti useita v altion virastoja, Garret Grajek, YouAttestin toimitusjohtaja, arvioi, että hakkerit ovat keksineet parhaan tavan saada haittaohjelmat tietokoneillemme, jos meidän asenna se itse.
"Jos hakkerit voivat saada koodinsa "lailliseen" ohjelmistoon, he voivat säästää vaivaa ja kustannuksia hyödyntämällä nollapäivän hakkerointia ja etsimällä haavoittuvuuksia, olipa kyseessä sitten ostetut tuotteet, kuten SolarWinds tai avoimen lähdekoodin kautta. Grajek kertoi Lifewirelle sähköpostitse.
Nasser Fattah, Pohjois-Amerikan ohjauskomitean puheenjohtaja Shared Assessmentsissa, lisäsi, että Powershell Windows Toolboxin tapauksessa troijalainen haittaohjelma piti lupauksensa, mutta sillä oli piilokustannukset.
Hyvä troijalainen haittaohjelma on sellainen, joka tarjoaa kaikki ominaisuudet ja toiminnot, joita se mainostaa tekevänsä… ja enemmän (haittaohjelmat), Fattah kertoi Lifewirelle sähköpostitse.
Fattah huomautti myös, että Powershell-käsikirjoituksen käyttö projektissa oli ensimmäinen merkki, joka pelotti häntä."Meidän on oltava erittäin varovaisia Internetistä tulevien Powershell-komentosarjojen suorittamisessa. Hakkerit ovat hyödyntäneet ja tulevat jatkossakin hyödyntämään Powershelliä haittaohjelmien levittämiseen", Fattah varoitti.
Hammond on samaa mieltä. Kun GitHubin nyt offline-tilaan siirtämän projektin dokumentaatiota käy läpi, ehdotus komentoliittymän käynnistämisestä järjestelmänvalvojan oikeuksilla ja koodirivin suorittamisesta, joka hakee ja suorittaa koodia Internetistä, sytytti varoituskellot hänelle..
Jaettu vastuu
David Cundiff, Cyvatarin tietoturvapäällikkö, uskoo, että tästä normaalinnäköisestä, sisältäpäin haitallisesta ohjelmistosta voidaan oppia useita asioita.
"Turvallisuus on jaettu vastuu, kuten GitHubin omassa tietoturvalähestymistavassa kuvataan", Cundiff huomautti. "Tämä tarkoittaa, että yhdenkään kokonaisuuden ei pitäisi luottaa täysin yhteen ketjun vikakohtaan."
Lisäksi hän neuvoi, että jokaisen, joka lataa koodia GitHubista, tulisi pitää silmänsä auki varoitusmerkkien var alta. Hän lisäsi, että tilanne toistuu, jos ihmiset toimivat olettaen, että kaikki on kunnossa, koska ohjelmistoa isännöidään luotettava ja hyvämaineinen alusta.
"Vaikka Github on hyvämaineinen koodinjakoalusta, käyttäjät voivat jakaa kaikki tietoturvatyökalut hyvään ja pahaan", Hammond myönsi.
