Naujas atvirojo kodo ir kelių platformų įrankis, vadinamas Tirith, gali aptikti homoglifų atakas komandų eilutės aplinkoje, analizuodamas įvestų komandų URL ir sustabdydamas jų vykdymą.
Prieinamas „GitHub“ ir kaip „npm“ paketas, įrankis veikia prisijungdamas prie vartotojo apvalkalo (zsh, bash, fish, „PowerShell“) ir tikrindamas kiekvieną komandą, kurią vartotojas įklijuoja vykdyti.
Šaltinis: GitHub
Idėja yra blokuoti apgaulingas atakas, kurios remiasi URL, kuriuose yra simbolių iš skirtingų abėcėlių, kurie atrodo identiški arba beveik identiški vartotojui, tačiau kompiuteris juos traktuoja kaip skirtingus simbolius (homoglifų atakos).
Tai leidžia užpuolikams sukurti domeno pavadinimus, kurie atrodo taip pat kaip teisėto prekės ženklo, bet turi vieną ar daugiau simbolių iš kitos abėcėlės. Kompiuterio ekrane domenas atrodo teisėtas žmogaus akiai, tačiau mašinos teisingai interpretuoja anomalią pobūdį ir perduoda domeną užpuoliko valdomam serveriui.
Nors naršyklės išsprendė problemą, terminalai ir toliau yra jautrūs, nes jie vis tiek gali pateikti unikodą, ANSI pabėgimus ir nematomus simbolius, įrankio aprašyme sako Tirith autorius Sheeki.
Pasak Sheeki, Tirith gali aptikti ir blokuoti šių tipų atakas:
- Homografų atakos (panašūs į Unikodo simboliai domenuose, „punycode“ ir mišrūs scenarijai)
- Terminalo įpurškimas (ANSI pabėgimas, bidi nepaisymas, nulinio pločio simboliai)
- Vamzdis iki apvalkalo modeliai (garbanos | bash, wget | sh, eval $(…))
- Taškinio failo užgrobimas (~/.bashrc, ~/.ssh/authorized_keys ir kt.)
- Nesaugus transportavimas (HTTP į apvalkalą, TLS išjungtas)
- Tiekimo grandinės rizika (nepatikimi „git“ atpirkimo sandoriai, nepatikimi „Docker“ registrai)
- Kredencialų atskleidimas (naudotojo informacijos URL, sutrumpintuvai, slepiantys paskirties vietas)
Unikodo homoglifų simboliai anksčiau buvo naudojami URL adresuose, pateiktuose el. paštu, vedančiuose į kenkėjišką svetainę. Vienas iš pavyzdžių – praėjusiais metais vykdyta sukčiavimo kampanija, kuria apsimetinėjama Booking.com.
ir paslėpti simboliai komandose yra labai dažni ClickFix atakose, kurias naudoja daugybė kibernetinių nusikaltėlių, todėl „Tirith“ galėtų užtikrinti tam tikrą apsaugos nuo jų lygį palaikomuose „PowerShell“ seansuose.
Reikėtų pažymėti, kad „Tirith“ neprisijungia prie „Windows“ komandų eilutės (cmd.exe), kuri naudojama daugelyje „ClickFix“ atakų, kurios nurodo vartotojams vykdyti kenkėjiškas komandas.
Sheeki teigia, kad „Tirith“ naudojimo sąnaudos yra mažesnės nei milisekundės, todėl patikrinimai atliekami akimirksniu, o įrankis iš karto baigiamas.
Įrankis taip pat gali analizuoti komandas jų nevykdydamas, suskaidyti URL pasitikėjimo signalus, atlikti baitų lygio unikodo patikrinimą ir tikrinti vykdomų scenarijų kvitus naudojant SHA-256.
Kūrėjas tikina, kad „Tirith“ visus analizės veiksmus atlieka lokaliai, neatlikdamas jokių tinklo skambučių, nekeičia vartotojo įklijuotų komandų ir neveikia fone. Be to, tam nereikia prieigos prie debesies ar tinklo, paskyrų ar API raktų ir kūrėjui nesiunčiami jokie telemetrijos duomenys.
„Tirith“ veikia „Windows“, „Linux“ ir „MacOS“ sistemose ir gali būti įdiegta naudojant „Homebrew“, „apt/dnf“, „npm“, „Cargo“, „Nix“, „Scoop“, „Chocolatey“ ir „Docker“.
„BleepingComputer“ neišbandė „Tirith“ pagal išvardytus atakos scenarijus, tačiau projektas turi 46 šakutes ir beveik 1600 žvaigždučių „GitHub“ tinkle, praėjus mažiau nei savaitei nuo paskelbimo.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
