เครื่องมือโอเพนซอร์ส และใช้งานได้หลายแพลตฟอร์มตัวใหม่ที่ชื่อว่า Tirith สามารถตรวจจับการโจมตีแบบ Homoglyph ใน environments แบบ Command-line โดยตัวเครื่องมือจะวิเคราะห์ URL ในคำสั่งที่พิมพ์ลงไป และสั่งระงับการทำงานหากพบความผิดปกติ
เครื่องมือนี้ มีให้ใช้งานบน GitHub และในรูปแบบแพ็กเกจ npm โดยหลักการทำงานคือการเชื่อมต่อเข้ากับ shell ของผู้ใช้ (ไม่ว่าจะเป็น zsh, bash, fish หรือ PowerShell) เพื่อตรวจสอบทุก ๆ คำสั่งที่ผู้ใช้คัดลอกมาวางเพื่อเรียกใช้งาน
แนวคิดหลักคือการบล็อกการโจมตีที่หลอกลวงโดยอาศัย URL ที่มีสัญลักษณ์จากตัวอักษรต่างภาษา ซึ่งดูเหมือน หรือเกือบจะเหมือนกับตัวอักษรปกติในสายตาของมนุษย์ แต่คอมพิวเตอร์มองว่าเป็นตัวอักษรคนละตัวกัน (เรียกว่าการโจมตีแบบ Homoglyph)
วิธีนี้ช่วยให้ผู้โจมตีสามารถสร้างชื่อโดเมนที่ดูเหมือนกับแบรนด์ที่น่าเชื่อถือได้ แต่มีการแฝงตัวอักษรจากภาษาอื่นเข้าไปหนึ่งตัวหรือมากกว่านั้น ซึ่งบนหน้าจอคอมพิวเตอร์ โดเมนดังกล่าวจะดูถูกต้องตามปกติสำหรับสายตามนุษย์ แต่เครื่องมือจะตีความตัวอักษรที่ผิดปกตินั้นได้อย่างถูกต้อง และเชื่อมโยงโดเมนนั้นไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่
Sheeki ผู้สร้าง Tirith ระบุแม้ว่าเบราว์เซอร์ต่าง ๆ จะมีการแก้ไขปัญหานี้ไปแล้ว แต่หน้าจอ Terminals ยังคงมีความเสี่ยงอยู่ เนื่องจากยังคงสามารถแสดงผลรหัส Unicode, ANSI escapes และตัวอักษรที่มองไม่เห็นได้
Sheeki ระบุว่า เครื่องมือ Tirith สามารถตรวจจับ และบล็อกการโจมตีรูปแบบต่าง ๆ ได้ดังนี้
- Homograph attacks (การใช้ตัวอักษร Unicode ที่หน้าตาเหมือนกันในโดเมน, การใช้ Punycode และการผสมตัวอักษรจากหลายภาษา)
- Terminal injection (การใช้รหัส ANSI escapes, การสลับตัวอักษรแบบ Bidi, และตัวอักษรที่มีความกว้างเป็นศูนย์)
- Pipe-to-shell patterns (เช่นคำสั่ง curl | bash, wget | sh, หรือ eval $(…))
- Dotfile hijacking (การพยายามเข้าถึง หรือแก้ไขไฟล์สำคัญ เช่น ~/.bashrc, ~/.ssh/authorized_keys เป็นต้น)
- Insecure transport (การใช้ HTTP เพื่อส่งข้อมูลไปยัง shell หรือการปิดการใช้งาน TLS)
- Supply-chain risks (เช่น git repo ที่สะกดชื่อคล้ายของจริงเพื่อหลอกลวง หรือ Docker registry ที่ไม่น่าเชื่อถือ)
- Credential exposure (URL ที่มีชื่อผู้ใช้/รหัสผ่าน หรือการใช้บริการย่อลิงก์เพื่อปกปิดปลายทางที่แท้จริง)
ในอดีตเคยมีการใช้ตัวอักษร Homoglyph ของ Unicode ใน URL ที่ส่งผ่านอีเมลเพื่อนำไปสู่เว็บไซต์อันตราย ตัวอย่างหนึ่งคือแคมเปญฟิชชิงเมื่อปีที่แล้วที่แอบอ้างเป็น Booking.com
ตัวอักษรเหล่านี้ และตัวอักษรที่ซ่อนอยู่ในคำสั่ง พบได้บ่อยมากในการโจมตีแบบ ClickFix ซึ่งถูกใช้โดยอาชญากรไซเบอร์หลายกลุ่ม ดังนั้น Tirith จึงสามารถช่วยป้องกันการโจมตีเหล่านี้ได้ในระดับหนึ่งบนเซสชันของ PowerShell ที่รองรับได้
แต่ Tirith ไม่ได้เชื่อมต่อกับ Windows Command Prompt (cmd.exe) ซึ่งเป็นโปรแกรมที่ใช้ในการโจมตี ClickFix หลายรูปแบบที่สั่งให้ผู้ใช้เรียกใช้คำสั่งที่เป็นอันตราย
Sheeki ระบุว่าปริมาณของการใช้ Tirith นั้นอยู่ในระดับต่ำกว่ามิลลิวินาที ดังนั้นการตรวจสอบจึงเกิดขึ้นได้ทันที และเครื่องมือจะยุติการทำงานลงทันทีเมื่อเสร็จสิ้น
นอกจากนี้ เครื่องมือนี้ยังสามารถวิเคราะห์คำสั่งโดยไม่ต้องเรียกใช้คำสั่งนั้น, แยกแยะ signals ความน่าเชื่อถือของ URL, ตรวจสอบ Unicode ในระดับไบต์ และตรวจสอบ receipts ด้วย SHA-256 สำหรับสคริปต์ที่ถูกเรียกใช้งาน
ผู้พัฒนายืนยันว่า Tirith ดำเนินการวิเคราะห์ทั้งหมดในเครื่องโดยไม่ต้องเรียกใช้ network ไม่แก้ไขคำสั่งที่ผู้ใช้คัดลอกมาวาง และไม่ทำงานใน background นอกจากนี้ ไม่จำเป็นต้องเข้าถึงระบบคลาวด์ หรือเครือข่าย, บัญชี หรือคีย์ API และไม่ส่งข้อมูล telemetry ใด ๆ ให้กับผู้พัฒนา
Tirith สามารถใช้งานได้บน Windows, Linux และ macOS และสามารถติดตั้งได้ผ่าน Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey และ Docker
โครงการนี้มีผู้คัดลอกไปพัฒนาต่อ (fork) ถึง 46 ราย และได้รับดาวเกือบ 1,600 ดวงบน GitHub ภายในเวลาไม่ถึงหนึ่งสัปดาห์หลังจากเผยแพร่
ที่มา : bleepingcomputer
You must be logged in to post a comment.