Ključni izsledki
- Zlonamerno orodje je potisnilo zlonamerno programsko opremo pod pretvezo poenostavljanja namestitve aplikacij za Android v sistemu Windows.
- Orodje je delovalo, kot je bilo oglaševano, zato ni sprožilo nobenih opozoril.
-
Strokovnjaki priporočajo, da ljudje z vso programsko opremo, preneseno s strani tretjih oseb, ravnajo zelo previdno.
Samo zato, ker je koda odprtokodne programske opreme na voljo vsem, ki si jo lahko ogledajo, to ne pomeni, da si jo vsi ogledajo.
Izkoristili so to možnost in so hekerji za distribucijo zlonamerne programske opreme izbrali skript Windows 11 ToolBox drugega proizvajalca. Na prvi pogled aplikacija deluje, kot je oglaševana, in pomaga dodati trgovino Google Play v Windows 11. Vendar pa je v zakulisju okužila tudi računalnike, v katerih je delovala, z vsemi vrstami zlonamerne programske opreme.
»Če obstaja kakršen koli nasvet, ki bi ga lahko vzeli iz tega, je to, da zajemanje kode za pobeg iz interneta zahteva dodaten nadzor,« je za Lifewire po e-pošti povedal John Hammond, višji varnostni raziskovalec pri Huntressu.
Rop čez dan
Ena najbolj nestrpno pričakovanih funkcij sistema Windows 11 je bila njegova zmožnost zagona aplikacij za Android neposredno iz sistema Windows. Vendar, ko je bila funkcija končno izdana, so bili ljudje omejeni na namestitev peščice izbranih aplikacij iz trgovine Amazon App Store in ne iz trgovine Google Play, kot so ljudje upali.
Bilo je nekaj predaha, saj je podsistem Windows za Android ljudem omogočil stransko nalaganje aplikacij s pomočjo Android Debug Bridge (adb), kar je v bistvu omogočilo namestitev katere koli aplikacije za Android v Windows 11.
Aplikacije so se kmalu začele pojavljati na GitHubu, kot je podsistem Windows za Android Toolbox, ki je poenostavil namestitev katere koli aplikacije za Android v sistemu Windows 11. Ena od takih aplikacij, imenovana Powershell Windows Toolbox, je poleg več drugih možnosti ponujala tudi možnost, na primer, da odstranite napihnjenost namestitve sistema Windows 11, prilagodite zmogljivost in še več.
Medtem ko je aplikacija delovala, kot je bilo oglaševano, je skript na skrivaj izvajal niz zakritih, zlonamernih skriptov PowerShell za namestitev trojanca in druge zlonamerne programske opreme.
Če obstaja kakšen nasvet, ki bi ga lahko vzeli iz tega, je to, da zajemanje kode za pobeg iz interneta zahteva dodaten nadzor.
Koda skripta je bila odprtokodna, toda preden se je kdo potrudil pogledati kodo, da bi opazil zakrito kodo, ki je prenesla zlonamerno programsko opremo, je skript zabeležil na stotine prenosov. A ker je scenarij deloval, kot je bilo oglaševano, nihče ni opazil, da je nekaj narobe.
Na primeru kampanje SolarWinds iz leta 2020, ki je okužila več vladnih agencij, je Garret Grajek, izvršni direktor podjetja YouAttest, menil, da so hekerji ugotovili, da je najboljši način, da zlonamerno programsko opremo vnesejo v naše računalnike, ta, da nam jo namestijo sami.
"Če lahko hekerji spravijo svojo kodo v 'legitimno' programsko opremo, naj bo to prek kupljenih izdelkov, kot je SolarWinds, ali prek odprte kode, si lahko prihranijo trud in stroške izkoriščanja zero-day vdorov in iskanja ranljivosti," Grajek je povedal Lifewire po e-pošti.
Nasser Fattah, predsednik usmerjevalnega odbora za Severno Ameriko pri Shared Assessments, je dodal, da je v primeru orodja Powershell Windows zlonamerna programska oprema izpolnila svoje obljube, vendar je imela skrite stroške.
"Dobra trojanska zlonamerna programska oprema je tista, ki nudi vse zmožnosti in funkcije, ki jih oglašuje … in še več (zlonamerna programska oprema)," je Fattah povedal Lifewire po elektronski pošti.
Fattah je tudi poudaril, da je bila uporaba skripta Powershell v projektu prvi znak, ki ga je prestrašil."Moramo biti zelo previdni pri izvajanju skriptov Powershell iz interneta. Hekerji so in bodo še naprej izkoriščali Powershell za distribucijo zlonamerne programske opreme," je opozoril Fattah.
Hammond se strinja. Pregledovanje dokumentacije projekta, ki ga je GitHub zdaj prekinil, je predlog za zagon ukaznega vmesnika s skrbniškimi privilegiji in zagon vrstice kode, ki pridobiva in izvaja kodo iz interneta, tisto, kar je opozorilo zanj.
Deljena odgovornost
David Cundiff, vodja informacijske varnosti pri Cyvatarju, verjame, da se lahko ljudje naučijo več lekcij iz te običajne programske opreme z zlonamerno notranjostjo.
"Varnost je skupna odgovornost, kot je opisano v lastnem varnostnem pristopu GitHub," je poudaril Cundiff. "To pomeni, da se noben subjekt ne bi smel popolnoma zanašati na eno samo točko napake v verigi."
Poleg tega je svetoval, naj vsakdo, ki prenese kodo iz GitHuba, pazi na opozorilne znake, in dodal, da se bo situacija ponovila, če bodo ljudje delovali pod predpostavko, da bo vse v redu, saj programska oprema gostuje na zaupanja vredna in ugledna platforma.
»Medtem ko je Github ugledna platforma za skupno rabo kode, lahko uporabniki delijo katero koli varnostno orodje tako v dobrem kot v zlu,« se je strinjal Hammond.