Новый открытый и кроссплатформенный инструмент под названием Tirith может обнаруживать атаки с использованием гомоглифов в командных средах, анализируя URL‑адреса в вводимых командах и останавливая их выполнение.
Доступен на GitHub и также как npm package, инструмент работает, подключаясь к оболочке пользователя (zsh, bash, fish, PowerShell) и проверяя каждую вставленную команду перед её выполнением.
Идея заключается в блокировке обманных атак, использующих URL‑адреса со знаками из разных алфавитов, которые выглядят одинаково или почти одинаково для пользователя, но рассматриваются как разные символы компьютером (атаки гомоглифов).
Это позволяет злоумышленникам создавать имена доменов, визуально совпадающие с легитимным брендом, но содержащие один или несколько символов из другого алфавита. На экране домен выглядит законно для человеческого глаза, однако машины правильно интерпретируют аномальный символ и направляют запрос к серверу, контролируемому атакующим.
Хотя браузеры уже решают эту проблему, терминалы остаются уязвимыми, поскольку продолжают отображать Unicode, ANSI‑escape‑последовательности и невидимые символы, отмечает автор Tirith — Шиики, в описании инструмента.
По словам Шиики, Tirith может обнаруживать и блокировать следующие типы атак:
- Атаки гомографов (Unicode‑символы‑двойники в доменах, punycode и смешанные скрипты)
- Внедрение в терминал (ANSI‑escape‑последовательности, переопределения направления bidi, нулевой ширины символы)
- Шаблоны pipe‑to‑shell (curl | bash, wget | sh, eval $(…))
- Угон конфигурационных файлов (~/.bashrc, ~/.ssh/authorized_keys и т.п.)
- Небезопасный транспорт (HTTP‑команды в оболочку, TLS отключён)
- Риски цепочки поставок (typosquatted‑репозитории git, недоверенные реестры Docker)
- Утечка учётных данных (URL‑адреса с userinfo, сокращатели, скрывающие цель)
Unicode‑символы‑гомоглифы ранее использовались в URL‑адресах, рассыланных по электронной почте, ведущих на вредоносные сайты. Одним примером является фишинговая кампания прошлого года под видом Booking.com.
Скрытые символы в командах часто встречаются в атаках ClickFix, используемых широким спектром киберпреступников, поэтому Tirith может обеспечить некоторый уровень защиты в поддерживаемых сеансах PowerShell.
Следует отметить, что Tirith не подключается к Windows Command Prompt (cmd.exe), который используется во многих атаках ClickFix с инструкциями выполнять вредоносные команды.
Шиики сообщает, что нагрузка от использования Tirith составляет менее миллисекунды, поэтому проверки выполняются мгновенно, а инструмент сразу завершает работу после завершения.
Инструмент также способен анализировать команды без их выполнения, разбивать сигналы доверия URL, производить побайтный анализ Unicode и проверять подписи SHA‑256 для исполняемых скриптов.
Создатель гарантирует, что Tirith выполняет все анализы локально, без сетевых запросов, не изменяет вставляемые пользователем команды и не работает в фоновом режиме. Кроме того, он не требует доступа к облаку, сети, учётных записей или API‑ключей и не передаёт телеметрию создателю.
Tirith работает в Windows, Linux и macOS и может устанавливаться через Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey и Docker.
BleepingComputer не тестировал Tirith на перечисленные сценарии атак, однако проект уже имеет 46 форков и почти 1 600 звёзд на GitHub менее чем через неделю после публикации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
