Δεν είναι όλες οι εφαρμογές ασφαλείς, ακόμα κι αν φαίνεται να λειτουργούν

Πίνακας περιεχομένων:

Δεν είναι όλες οι εφαρμογές ασφαλείς, ακόμα κι αν φαίνεται να λειτουργούν
Δεν είναι όλες οι εφαρμογές ασφαλείς, ακόμα κι αν φαίνεται να λειτουργούν
Anonim

Βασικά Takeaways

  • Ένα κακόβουλο εργαλείο ώθησε το κακόβουλο λογισμικό με το πρόσχημα της απλοποίησης της εγκατάστασης εφαρμογών Android στα Windows.
  • Το εργαλείο λειτούργησε όπως διαφημιζόταν, επομένως δεν έφερε κόκκινες σημαίες.
  • Οι ειδικοί προτείνουν στους ανθρώπους να χειρίζονται οποιοδήποτε λογισμικό που έχει ληφθεί από ιστότοπους τρίτων με μεγάλη προσοχή.

Image
Image

Ακριβώς επειδή ο κώδικας του λογισμικού ανοιχτού κώδικα είναι διαθέσιμος για οποιονδήποτε, δεν σημαίνει ότι όλοι τον ρίχνουν μια ματιά.

Εκμεταλλευόμενοι αυτό, οι χάκερ επέλεξαν ένα σενάριο τρίτου κατασκευαστή του Windows 11 ToolBox για τη διανομή κακόβουλου λογισμικού. Επιφανειακά, η εφαρμογή λειτουργεί όπως διαφημίζεται και βοηθά στην προσθήκη του Google Play Store στα Windows 11. Ωστόσο, στα παρασκήνια, μόλυνε επίσης τους υπολογιστές στους οποίους εκτελούσε με όλα τα είδη κακόβουλου λογισμικού.

"Αν υπάρχει κάποιου είδους συμβουλή που θα μπορούσε να ληφθεί από αυτό, είναι ότι η αρπαγή κώδικα για την εξάντληση του Διαδικτύου απαιτεί επιπλέον έλεγχο", είπε ο John Hammond, Ανώτερος Ερευνητής Ασφαλείας στο Huntress, στο Lifewire μέσω email.

Ληστεία στο φως της ημέρας

Ένα από τα πιο αναμενόμενα χαρακτηριστικά των Windows 11 ήταν η ικανότητά του να εκτελεί εφαρμογές Android απευθείας από τα Windows. Ωστόσο, όταν τελικά κυκλοφόρησε η λειτουργία, οι χρήστες περιορίστηκαν στην εγκατάσταση μιας χούφτας επιμελημένες εφαρμογές από το Amazon App Store και όχι από το Google Play Store, όπως ήλπιζαν οι άνθρωποι.

Υπήρξε κάποια ανάπαυλα αφού το Υποσύστημα Windows για Android επέτρεπε στους χρήστες να φορτώνουν εφαρμογές με τη βοήθεια του Android Debug Bridge (adb), επιτρέποντας στην ουσία την εγκατάσταση οποιασδήποτε εφαρμογής Android στα Windows 11.

Εφαρμογές άρχισαν σύντομα να εμφανίζονται στο GitHub, όπως το Windows Subsystem for Android Toolbox, το οποίο απλοποίησε την εγκατάσταση οποιασδήποτε εφαρμογής Android στα Windows 11. Μια τέτοια εφαρμογή που ονομάζεται Powershell Windows Toolbox προσέφερε επίσης τη δυνατότητα μαζί με πολλές άλλες επιλογές, για παράδειγμα, για να αφαιρέσετε το bloat από μια εγκατάσταση των Windows 11, να το τροποποιήσετε για απόδοση και πολλά άλλα.

Ωστόσο, ενώ η εφαρμογή λειτουργούσε όπως διαφημιζόταν, το σενάριο εκτελούσε κρυφά μια σειρά από ασαφή, κακόβουλα σενάρια PowerShell για την εγκατάσταση ενός trojan και άλλου κακόβουλου λογισμικού.

Αν υπάρχει κάποιου είδους συμβουλή που θα μπορούσε να ληφθεί από αυτό, είναι ότι η αρπαγή κωδικού για την εξάντληση του Διαδικτύου απαιτεί επιπλέον έλεγχο.

Ο κώδικας του σεναρίου ήταν ανοιχτού κώδικα, αλλά πριν κάποιος μπει στον κόπο να δει τον κώδικά του για να εντοπίσει τον ασαφή κώδικα που κατέβασε το κακόβουλο λογισμικό, το σενάριο είχε εκατοντάδες λήψεις. Αλλά επειδή το σενάριο λειτουργούσε όπως διαφημιζόταν, κανείς δεν παρατήρησε ότι κάτι δεν πήγαινε καλά.

Χρησιμοποιώντας το παράδειγμα της καμπάνιας SolarWinds του 2020 που μόλυνε πολλές κυβερνητικές υπηρεσίες, ο Garret Grajek, Διευθύνων Σύμβουλος της YouAttest, διαπίστωσε ότι οι χάκερ έχουν βρει τον καλύτερο τρόπο για να εισβάλουν κακόβουλο λογισμικό στους υπολογιστές μας είναι να το εγκαταστήσουμε μόνοι μας.

Είτε πρόκειται για αγορασμένα προϊόντα όπως το SolarWinds είτε μέσω ανοιχτού κώδικα, εάν οι χάκερ μπορούν να μεταφέρουν τον κώδικά τους σε «νόμιμο» λογισμικό, μπορούν να εξοικονομήσουν τον κόπο και το κόστος της εκμετάλλευσης των hacks του zero-day και της αναζήτησης τρωτών σημείων. Ο Grajek είπε στο Lifewire μέσω email.

Nasser Fattah, Πρόεδρος της Διοικούσας Επιτροπής Βόρειας Αμερικής στο Shared Assessments, πρόσθεσε ότι στην περίπτωση του Powershell Windows Toolbox, το κακόβουλο λογισμικό trojan ανταποκρίθηκε στην υπόσχεσή του, αλλά είχε ένα κρυφό κόστος.

Το καλό trojan κακόβουλο λογισμικό είναι αυτό που παρέχει όλες τις δυνατότητες και τις λειτουργίες που διαφημίζει ότι κάνει… συν περισσότερα (κακόβουλο λογισμικό), είπε ο Fattah στο Lifewire μέσω email.

Ο Fattah επεσήμανε επίσης ότι η χρήση ενός σεναρίου Powershell από το έργο ήταν το πρώτο σημάδι που τον τρόμαξε."Πρέπει να είμαστε πολύ προσεκτικοί όσον αφορά την εκτέλεση οποιωνδήποτε σεναρίων Powershell από το διαδίκτυο. Οι χάκερ έχουν και θα συνεχίσουν να χρησιμοποιούν το Powershell για τη διανομή κακόβουλου λογισμικού", προειδοποίησε ο Fattah.

Ο Hammond συμφωνεί. Εξετάζοντας την τεκμηρίωση του έργου που έχει πλέον αφαιρεθεί εκτός σύνδεσης από το GitHub, η πρόταση να ξεκινήσει μια διεπαφή εντολών με δικαιώματα διαχειριστή και να εκτελέσει μια γραμμή κώδικα που ανακτά και εκτελεί κώδικα από το Διαδίκτυο, είναι αυτό που πυροδότησε τις προειδοποιητικές καμπάνες για αυτόν..

Κοινή ευθύνη

Ο David Cundiff, επικεφαλής αξιωματικός ασφάλειας πληροφοριών στο Cyvatar, πιστεύει ότι υπάρχουν πολλά μαθήματα που μπορούν να μάθουν οι άνθρωποι από αυτό το λογισμικό με κανονική εμφάνιση και κακόβουλο εσωτερικό.

"Η ασφάλεια είναι κοινή ευθύνη όπως περιγράφεται στην προσέγγιση ασφαλείας του ίδιου του GitHub", επεσήμανε ο Cundiff. "Αυτό σημαίνει ότι καμία οντότητα δεν πρέπει να βασίζεται πλήρως σε ένα μόνο σημείο αποτυχίας στην αλυσίδα."

Image
Image

Επιπλέον, συμβούλεψε ότι όποιος κατεβάζει κώδικα από το GitHub θα πρέπει να έχει τα μάτια του κλειστά για προειδοποιητικά σημάδια, προσθέτοντας ότι η κατάσταση θα επαναληφθεί εάν οι άνθρωποι λειτουργούν με την υπόθεση ότι όλα θα είναι εντάξει αφού το λογισμικό φιλοξενείται στο μια αξιόπιστη και αξιόπιστη πλατφόρμα.

"Ενώ το Github είναι μια αξιόπιστη πλατφόρμα κοινής χρήσης κώδικα, οι χρήστες μπορούν να μοιράζονται οποιοδήποτε εργαλείο ασφαλείας για καλό, αλλά και κακό", συμφώνησε ο Hammond.

Συνιστάται: