Tirithと呼ばれる新しいオープンソースかつクロスプラットフォームのツールは、入力されたコマンド内のURLを解析してコマンドライン環境におけるホモグリフ攻撃を検出し、その実行を停止できます。
GitHubで入手でき、npmパッケージとしても提供されているこのツールは、ユーザーのシェル(zsh、bash、fish、PowerShell)にフックし、ユーザーが実行のために貼り付けるすべてのコマンドを検査することで動作します。
出典: GitHub
狙いは、異なるアルファベットの記号を含むURLに依存した欺瞞的な攻撃をブロックすることです。これらの記号はユーザーには同一、またはほぼ同一に見えますが、コンピューターでは別の文字として扱われます(ホモグリフ攻撃)。
これにより攻撃者は、正規ブランドのものと同じに見えるドメイン名を作成できますが、1文字以上が別のアルファベットの文字になっています。画面上では人間の目には正規のドメインに見えますが、機械は異常な文字を正しく解釈し、攻撃者が管理するサーバーのドメインへ解決します。
ブラウザーではこの問題に対処してきた一方で、ターミナルは依然として影響を受けやすいままだと、Tirithの作者Sheekiはツールの説明で述べています。ターミナルはUnicode、ANSIエスケープ、不可視文字を依然として描画できるためです。
Sheekiによると、Tirithは次の種類の攻撃を検出してブロックできます:
- ホモグラフ攻撃(ドメイン内のUnicode類似文字、Punycode、混在スクリプト)
- ターミナルインジェクション(ANSIエスケープ、双方向(bidi)上書き、ゼロ幅文字)
- パイプ経由のシェル実行パターン(curl | bash、wget | sh、eval $(…))
- ドットファイルの乗っ取り(~/.bashrc、~/.ssh/authorized_keys など)
- 安全でない転送(HTTPからシェル、TLS無効化)
- サプライチェーンリスク(タイプスクワットされたgitリポジトリ、信頼できないDockerレジストリ)
- 認証情報の露出(userinfo付きURL、行き先を隠す短縮URL)
Unicodeのホモグリフ文字は過去にも、メールで配信されたURLに使用され、悪意のあるWebサイトへ誘導するために使われてきました。例として、昨年のBooking.comになりすますフィッシングキャンペーンがあります。
また、コマンド内の隠し文字は、幅広いサイバー犯罪者が使用するClickFix攻撃で非常に一般的であり、そのためTirithは、対応するPowerShellセッション上でそれらに対する一定の防御を提供できる可能性があります。
なお、TirithはWindowsのコマンドプロンプト(cmd.exe)にはフックしません。cmd.exeは、ユーザーに悪意のあるコマンドの実行を指示する多くのClickFix攻撃で使用されています。
Sheekiによれば、Tirithの使用によるオーバーヘッドはサブミリ秒レベルで、チェックは瞬時に実行され、処理が終わるとツールは直ちに終了します。
このツールはまた、コマンドを実行せずに解析したり、URLの信頼シグナルを分解したり、バイトレベルのUnicode検査を行ったり、実行されたスクリプトのレシートをSHA-256で監査したりすることもできます。
作成者は、Tirithはすべての解析処理をローカルで実行し、ネットワーク呼び出しを一切行わず、ユーザーが貼り付けたコマンドを変更せず、バックグラウンドでも動作しないと保証しています。また、クラウドアクセスやネットワーク、アカウント、APIキーも不要で、作成者にテレメトリデータを送信することもありません。
TirithはWindows、Linux、macOSで動作し、Homebrew、apt/dnf、npm、Cargo、Nix、Scoop、Chocolatey、Dockerを通じてインストールできます。
BleepingComputerは、列挙された攻撃シナリオに対してTirithをテストしていませんが、このプロジェクトは公開から1週間未満でGitHub上に46のフォークと約1,600のスターがあります。
