Нова алатка блокира измамнички напади преправени како безбедни команди

Нов отворен изворен (open-source) и мултиплатформски алат наречен Tirith може да детектира напади со хомоглифови (homoglyph attacks) во командната линија, така што ги анализира URL-адресите во внесените команди и го стопира нивното извршување.

Алатот е достапен на GitHub, како и како npm пакет, и функционира преку поврзување со корисничкиот shell (zsh, bash, fish, PowerShell), проверувајќи секоја команда што корисникот ја вметнува или копира за извршување.

Идејата е да се блокираат измамнички напади кои се потпираат на URL-адреси што содржат симболи од различни азбуки и кои за корисникот изгледаат идентично или речиси идентично, но компјутерот ги третира како различни знаци (хомоглиф напади).

Ова им овозможува на напаѓачите да креираат имиња на домени што изгледаат исто како оние на легитимен бренд, но содржат еден или повеќе знаци од друга азбука. На екранот, доменот изгледа легитимно за човечкото око, но машините правилно го интерпретираат аномалниот знак и го насочуваат доменот кон сервер контролиран од напаѓачот.

Иако веб-прелистувачите во голема мера го имаат решено овој проблем, терминалите и понатаму се ранливи бидејќи сè уште можат да прикажуваат Unicode, ANSI escape секвенци и невидливи знаци, наведува авторот на Tirith, Шики (Sheeki), во описот на алатот.

Според Шики, Tirith може да ги детектира и блокира следните типови напади:

• Хомограф напади (Unicode знаци што личат еден на друг во домени, punycode и мешани писма)
• Инјекција во терминал (ANSI escape секвенци, bidi overrides, знаци со нулта ширина)
• Pipe-to-shell шаблони (curl | bash, wget | sh, eval $(…))
• Киднапирање на dotfile датотеки (~/.bashrc, ~/.ssh/authorized_keys и слично)
• Небезбеден транспорт (HTTP до shell, исклучен TLS)
• Ризици во синџирот на снабдување (git репозиториуми со типо-сквотинг, недоверливи Docker регистри)
• Изложување на креденцијали (URL со userinfo, скратувачи што ја кријат вистинската дестинација)

Unicode хомоглиф знаци во минатото биле користени во URL-адреси испратени преку е-пошта што воделе до малициозни веб-страници. Еден таков пример е фишинг кампања од минатата година која се претставувала како Booking.com.

Исто така, скриените знаци во командите се многу чести кај ClickFix нападите што ги користи широк спектар на сајбер-криминалци, па Tirith може да обезбеди одредено ниво на заштита од вакви напади во поддржаните PowerShell сесии.

Треба да се напомене дека Tirith не се поврзува со Windows Command Prompt (cmd.exe), кој често се користи во ClickFix нападите каде корисниците се инструираат да извршуваат малициозни команди.

Според Шики, оптоварувањето при користење на Tirith е на ниво под една милисекунда, што значи дека проверките се извршуваат моментално, а алатот веднаш се прекинува по завршување на проверката.

Алатот, исто така, може да анализира команди без нивно извршување, да ги разложи сигналите за доверба на една URL-адреса, да спроведе Unicode инспекција на ниво на бајти и да врши ревизија на извршените скрипти со SHA‑256 хешови.

Креаторот гарантира дека Tirith ги извршува сите анализи локално, без никакви повици кон мрежата, не ги менува командите што корисникот ги вметнува и не работи во позадина. Исто така, не бара пристап до облак, мрежа, сметки или API клучеви, и не испраќа никакви телеметриски податоци до креаторот.

Tirith работи на Windows, Linux и macOS, и може да се инсталира преку Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey и Docker.

BleepingComputer сè уште не го тестирал Tirith против наведeните сценарија на напади, но проектот веќе има 46 форка и речиси 1.600 stars на GitHub, помалку од една недела по објавувањето.

Извори:

• Bleeping Computer – New tool blocks imposter attacks disguised as safe commands Bleeping Computer