موارد مهم
- یک ابزار مخرب بدافزار را به بهانه سادهسازی نصب برنامههای اندروید در ویندوز هل میدهد.
- این ابزار همانطور که تبلیغ می شد کار می کرد، بنابراین هیچ علامت قرمزی برانگیخت.
-
کارشناسان به مردم پیشنهاد میکنند نرمافزارهای دانلود شده از سایتهای شخص ثالث را با نهایت دقت مدیریت کنند.
فقط به این دلیل که کد نرم افزار منبع باز برای همه در دسترس است، به این معنی نیست که همه به آن نگاه کنند.
با استفاده از این مزیت، هکرها یک اسکریپت شخص ثالث ToolBox ویندوز 11 را برای توزیع بدافزار انتخاب کردند.در ظاهر، این برنامه همانطور که تبلیغ میشود کار میکند و به افزودن فروشگاه Google Play به ویندوز 11 کمک میکند. با این حال، در پشت صحنه، رایانههایی که روی آنها در حال اجرا بود را نیز به انواع بدافزارها آلوده کرد.
جان هاموند، محقق ارشد امنیت در Huntress، از طریق ایمیل به Lifewire گفت: "اگر هر نوع توصیه ای وجود دارد که می توان از این موضوع برداشت کرد، این است که گرفتن کد برای از بین بردن اینترنت مستلزم بررسی دقیق بیشتری است."
دزدی در نور روز
یکی از ویژگیهای مورد انتظار ویندوز 11، توانایی آن در اجرای مستقیم برنامههای اندروید از داخل ویندوز بود. با این حال، هنگامی که این ویژگی در نهایت منتشر شد، مردم به نصب تعداد انگشت شماری از برنامه های مدیریت شده از فروشگاه App آمازون و نه فروشگاه Google Play آنطور که مردم امیدوار بودند محدود شدند.
از آنجایی که زیرسیستم ویندوز برای اندروید به افراد اجازه می داد برنامه ها را با کمک Android Debug Bridge (adb) بارگذاری کنند، مهلتی وجود داشت که در اصل اجازه نصب هر برنامه اندرویدی در ویندوز 11 را می داد.
برنامه ها به زودی در GitHub ظاهر شدند، مانند زیرسیستم ویندوز برای جعبه ابزار اندروید، که نصب هر برنامه اندرویدی را در ویندوز 11 ساده می کرد. یکی از این برنامه ها به نام Powershell Windows Toolbox نیز این قابلیت را به همراه چندین گزینه دیگر ارائه می دهد. به عنوان مثال، برای حذف bloat از نصب ویندوز 11، آن را برای عملکرد تنظیم کنید، و موارد دیگر.
اما، در حالی که برنامه همانطور که تبلیغ می شد کار می کرد، اسکریپت به طور مخفیانه یک سری از اسکریپت های مبهم و مخرب PowerShell را برای نصب یک تروجان و سایر بدافزارها اجرا می کرد.
اگر توصیه ای وجود دارد که می توان از این موضوع برداشت کرد، این است که گرفتن کد برای از بین بردن اینترنت مستلزم بررسی دقیق است.
کد اسکریپت منبع باز بود، اما قبل از اینکه کسی به خود زحمت نگاهی به کد آن برای شناسایی کد مبهم که بدافزار را دانلود کرده بود، نگاه کند، اسکریپت صدها بار دانلود کرده بود. اما از آنجایی که اسکریپت همانطور که تبلیغ می شد کار کرد، هیچ کس متوجه نشد که چیزی اشتباه است.
با استفاده از مثال کمپین SolarWinds در سال 2020 که چندین سازمان دولتی را آلوده کرد، Garret Grajek، مدیر عامل YouAttest، معتقد است که هکرها بهترین راه برای ورود بدافزار به رایانه های ما را کشف کرده اند که ما خودمان آن را نصب کنیم.
"چه از طریق محصولات خریداری شده مانند SolarWinds یا از طریق منبع باز، اگر هکرها بتوانند کد خود را به نرم افزار "مشروع" وارد کنند، می توانند در تلاش و هزینه سوء استفاده از هک های روز صفر و جستجوی آسیب پذیری ها صرفه جویی کنند. گراجک از طریق ایمیل به Lifewire گفت.
ناصر فتاح، رئیس کمیته راهبری آمریکای شمالی در Shared Assessments، افزود که در مورد جعبه ابزار Powershell Windows، بدافزار تروجان به وعده خود عمل کرد اما هزینه پنهانی داشت.
"بدافزار خوب تروجان بدافزاری است که تمام قابلیت ها و عملکردهایی را که تبلیغ می کند را ارائه می دهد… به علاوه بیشتر (بدافزار)،" فتاح از طریق ایمیل به Lifewire گفت.
فتاح همچنین اشاره کرد که استفاده از اسکریپت پاورشل در پروژه اولین نشانه ای بود که او را به وحشت انداخت.فتاح هشدار داد: «ما باید در اجرای هر گونه اسکریپت Powershell از اینترنت بسیار محتاط باشیم. هکرها از Powershell برای توزیع بدافزارها استفاده کرده و خواهند کرد.»
هاموند موافق است. بررسی مستندات پروژه که اکنون توسط GitHub آفلاین شده است، پیشنهاد راهاندازی یک رابط فرمان با امتیازات مدیریتی و اجرای یک خط کد که کد را از اینترنت واکشی و اجرا میکند، چیزی است که زنگهای هشدار را برای او به صدا درآورد..
مسئولیت مشترک
دیوید کندیف، افسر ارشد امنیت اطلاعات در Cyvatar، معتقد است چندین درس وجود دارد که مردم میتوانند از این نرمافزار با ظاهر معمولی با درون مخرب بیاموزند.
"امنیت یک مسئولیت مشترک است همانطور که در رویکرد امنیتی خود GitHub توضیح داده شده است." "این بدان معناست که هیچ نهادی نباید به طور کامل به یک نقطه شکست در زنجیره تکیه کند."
علاوه بر این، او توصیه کرد که هر کسی که کد را از GitHub دانلود می کند باید چشمان خود را برای علائم هشدار دهنده نگه دارد، و افزود که اگر افراد با این فرض که همه چیز درست است از آنجایی که نرم افزار در میزبانی میزبانی می شود، این وضعیت تکرار خواهد شد. یک پلت فرم قابل اعتماد و معتبر.
در حالی که Github یک پلت فرم به اشتراک گذاری کد معتبر است، کاربران می توانند هر ابزار امنیتی را برای خوب و همچنین شر به اشتراک بگذارند.