Sleutel wegneemetes
- 'n Kwaadwillige hulpmiddel het wanware gedruk in die gedaante van die vereenvoudiging van die installering van Android-toepassings in Windows.
- Die instrument het gewerk soos geadverteer, so dit het geen rooi vlae gelig nie.
-
Kenners stel voor dat mense enige sagteware wat van derdeparty-werwe afgelaai word met die grootste sorg hanteer.
Net omdat die oopbronsagteware se kode beskikbaar is vir enigiemand om te sien, beteken dit nie dat almal daarna kyk nie.
Met voordeel hiervan, het kuberkrakers 'n derdeparty Windows 11 ToolBox-skrip gekoöpteer om wanware te versprei. Op die oog af werk die toepassing soos geadverteer en help dit om die Google Play Winkel by Windows 11 te voeg. Agter die skerms het dit egter ook die rekenaars waarop dit loop, besmet met allerhande wanware.
"As daar enige soort raad is wat hieruit geneem kan word, is dit dat om kode te gryp om van die internet af te hardloop, ekstra ondersoek verg," het John Hammond, Senior Sekuriteitsnavorser by Huntress, per e-pos aan Lifewire gesê.
Daylight Robbery
Een van die kenmerke van Windows 11 wat die meeste verwag word, was die vermoë om Android-toepassings direk vanuit Windows te laat loop. Toe die kenmerk egter uiteindelik vrygestel is, was mense beperk tot die installering van 'n handvol saamgestelde programme vanaf die Amazon App Store en nie die Google Play Winkel soos mense gehoop het nie.
Daar was 'n bietjie blaaskans sedert die Windows-substelsel vir Android mense toegelaat het om programme te laai met behulp van Android Debug Bridge (adb), wat in wese die installering van enige Android-toepassing in Windows 11 moontlik gemaak het.
Toepassings het gou op GitHub begin verskyn, soos die Windows-substelsel vir Android Toolbox, wat die installering van enige Android-toepassing in Windows 11 vereenvoudig het. Een so 'n toepassing genaamd die Powershell Windows Toolbox het ook die vermoë gebied saam met verskeie ander opsies, byvoorbeeld, om opblaas van 'n Windows 11-installasie te verwyder, pas dit aan vir werkverrigting, en meer.
Terwyl die toepassing egter gewerk het soos geadverteer, het die skrif in die geheim 'n reeks verduisterde, kwaadwillige PowerShell-skrifte laat loop om 'n trojaan en ander wanware te installeer.
As daar enige soort raad is wat hieruit geneem kan word, is dit dat om kode te gryp om van die internet af te hardloop, ekstra ondersoek verg.
Die skrif se kode was oopbron, maar voordat iemand die moeite gedoen het om na die kode daarvan te kyk om die verduisterde kode wat die wanware afgelaai het, te sien, het die skrif honderde aflaaie geklok. Maar aangesien die draaiboek gewerk het soos geadverteer, het niemand opgemerk iets skort nie.
Deur die voorbeeld van 2020 se SolarWinds-veldtog te gebruik wat verskeie regeringsagentskappe besmet het, het Garret Grajek, uitvoerende hoof van YouAttest, gemeen dat kuberkrakers die beste manier uitgevind het om wanware in ons rekenaars te kry, is om ons dit self te laat installeer.
"Of dit nou deur gekoopte produkte soos SolarWinds of deur oopbron is, as die kuberkrakers hul kode in 'legitieme' sagteware kan kry, kan hulle die moeite en koste bespaar om nul-dag hacks te ontgin en na kwesbaarhede te soek, " Grajek het per e-pos aan Lifewire gesê.
Nasser Fattah, Noord-Amerika Bestuurskomitee-voorsitter by Shared Assessments, het bygevoeg dat in die geval van die Powershell Windows Toolbox, die trojaanse wanware sy belofte nagekom het, maar 'n verborge koste gehad het.
"Goeie trojaanse wanware is een wat al die vermoëns en funksies verskaf wat dit adverteer … plus meer (wanware), " het Fattah per e-pos aan Lifewire gesê.
Fattah het ook daarop gewys dat die projek se gebruik van 'n Powershell-skrif die eerste teken was wat hom geskrik het."Ons moet baie versigtig wees om enige Powershell-skrifte vanaf die internet te laat loop. Kuberkrakers het en sal voortgaan om Powershell te gebruik om wanware te versprei," het Fattah gewaarsku.
Hammond stem saam. Deur die dokumentasie van die projek wat nou vanlyn geneem is deur GitHub te lees, die voorstel om 'n opdragkoppelvlak met administratiewe voorregte te begin, en 'n reël kode uit te voer wat kode van die internet af haal en laat loop, is wat die waarskuwingsklokkies vir hom laat afgaan het..
Gedeelde verantwoordelikheid
David Cundiff, hoofinligtingsekuriteitsbeampte by Cyvatar, glo daar is verskeie lesse wat mense kan leer uit hierdie normaal lyk-met-kwaadwillige-binne-sagteware.
"Sekuriteit is 'n gedeelde verantwoordelikheid soos beskryf op GitHub se eie sekuriteitsbenadering," het Cundiff uitgewys. "Dit beteken dat geen entiteit heeltemal op 'n enkele punt van mislukking in die ketting moet staatmaak nie."
Verder het hy aangeraai dat enigiemand wat kode van GitHub aflaai, hul oë oop moet hou vir waarskuwingstekens, en bygevoeg dat die situasie homself sal herhaal as mense werk onder die veronderstelling dat alles in orde sal wees aangesien die sagteware gehuisves word op 'n betroubare en betroubare platform.
"Terwyl Github 'n betroubare kodedeelplatform is, kan gebruikers enige sekuriteitsinstrumente vir goed sowel as kwaad deel," het Hammond saamgestem.
