Siber suçlular her zaman yüksek ve açık değildir. Bazen sessiz ve akıllı oynarlar. Turları yapmanın hilelerinden birine ClickFix denir. Kapıları yıkmaz. Bunun yerine, onları açmanızı kibarca bekler.
ClickFix’i işletmelerle ilgili yapan şey, günlük dijital deneyimlerle ne kadar mükemmel bir şekilde karıştığıdır. Kötü amaçlı yazılım, Captcha formları veya açılır mesajlar gibi tanıdık öğelerin arkasına saklanır ve çalışanları farketmeden kötü amaçlı yazılımları tetiklemeye kandırır.
ClickFix’in nasıl çalıştığını, şirketler için neden ciddi bir risk oluşturduğunu ve güvenlik ekiplerinin herhangi bir hasara neden olmadan önce tespit etmek ve durdurmak için neler yapabileceğini açalım.
ClickFix nedir? Rutin tıklamaları iş için risklere dönüştürmek
Hemen kötü amaçlı yazılımları dağıtmak yerine, saldırganlar captcha formları, pop-up’lar veya giriş istemleri gibi ikna edici tuzaklar yaratırlar. Gerçek tehlike, birinin tıkladığı anda başlar.
Bu tek tıklama, “doğrulama” erişimi kadar basit bir şey, saldırıyı başlatan bir komutu veya indirmeyi sessizce tetikler. Ayrıca, kötü amaçlı yazılım gerçek bir kullanıcı etkileşime girene kadar uykuda kaldığı için, çoğu geleneksel güvenlik aracı onu işaretlemez. Onlara göre, birisi normal bir istem izliyor gibi görünüyor.
Bu teknik neden çoğu savunmayı atlıyor:
- İnsan Tetikli Yürütme: Gerçek bir tıklama olana kadar hiçbir yük teslim edilmez, otomatik tarayıcılar bunu simüle etmez.
- Günlük rutinlerle karışır: Captcha tıklamaları, tarayıcı açılır pencereleri veya giriş istemleri kendi başlarına alarm vermez.
- Kademeli davranış: Kötü amaçlı etkinliği geciktirerek, ClickFix, algılama araçlarının tespit edilecek şekilde eğitildiği olağan kötü amaçlı yazılım kalıplarının eşleşmesini önler.
ClickFix’i Sıfırlama: Neden yakalamak için tıklamanız gerekiyor?
ClickFix’in tespit edilmesi kolay değil. Çünkü önce bir şey yapana kadar hiçbir şey yapmaz. Çoğu güvenlik aracı bu tür davranışları ele almak için oluşturulmaz. Hiçbir şey şüpheli görünmüyorsa, her şeyin yolunda olduğunu varsayarlar.
Ama bu tam olarak sorun.
ClickFix’i yakalamak için, kimlik avı sayfasının, tıpkı gerçek bir kullanıcının yaptığı gibi, birisinin onunla gerçekten etkileşime girebileceği bir ortamda test edilmesi gerekir. Bu yüzden etkileşimli kum havuzları burada çok etkilidir.
Yalnızca dışarıdan izleyen otomatik araçların aksine, manuel etkileşime izin veren kum havuzları gizli davranışı tetikleyebilir ve kötü amaçlı yazılımın nasıl geliştiğini gösterebilir.
ClickFix tarafından tetiklenen gerçek dünya kötü amaçlı yazılım vakası
Etkileşimli bir kum havuzu ortamında analiz edildiğinde ClickFix’in gerçek dünya senaryosunda nasıl davrandığına bir göz atalım.
Run analiz oturumunda, kötü amaçlı yazılım sahte bir Captcha sayfasının arkasında kendini gizler. İlk bakışta, zararsız bir doğrulama adımı gibi görünüyor, kullanıcıların her zaman gördükleri bir şey. Ancak kullanıcı etkileşime girmeye başladığında, tuzak ayarlanır.
Sayfa kullanıcıya aşağıdakileri söyler:
- Windows + R tuşuna basın
- Panodan (sahte captcha’yı kontrol ettiklerinde otomatik olarak kopyalanan) komutu koşu diyaloğuna yapıştırın
- Enter tuşuna binebilir
Normal bir süreç gibi görünen şey aslında gizli bir PowerShell betiğini tetikler. Kullanıcı bu adımları izlerse, kötü amaçlı yazılım sessizce arka planda yürütülür, saldırganın sisteme erişimi verir veya ek yükler indirir.
Bu davranış, analistlerin bir kullanıcının atabileceği tam adımları çoğaltabileceği Run’un etkileşimli kum havuzu içinde tamamen ortaya çıktı. Sandbox tam etkileşime izin verdikçe, sahte Captcha sayfası yanıt verdi ve enfeksiyon sürecini ileriye taşıdı ve kötü amaçlı yazılımların mantığını ve yükünü ortaya çıkardı.
Bu etkileşim olmadan, kötü amaçlı yazılım uykuda kalır ve tespit edilmezdi; ClickFix gibi tekniklerin otomatik veya pasif analiz araçlarını kullanarak yakalamak için bu kadar zor olmasının temel bir nedeni.
ClickFix teknikleri kullanıcıları kandırmak için kullanır
Sandbox’ın etkileşimli doğası, ClickFix’in farklı senaryolarda nasıl çalıştığını tespit etmeyi mümkün kılar, hepsi kullanıcıların saldırgan için işi yapmasını sağlamak için tasarlanmıştır.
İşte bu tekniğin herhangi birini kullanarak çalışmada gözlemlenmesinin bazı yolları.
- Sahte captcha sayfaları – Kullanıcılardan bir CAPTCHA’yı tamamlamaları istenir, daha sonra koşu diyaloğunu açmaları ve bir PowerShell komutunu yapıştırmaları talimatı verilir. Bir kez yürütüldüğünde, kötü amaçlı yazılım arka planda çalışır.
- Sahte “Hesap Doğrulama” istemleri – Sahte oturum açma ayrıntılarını girdikten sonra, kullanıcılar, aslında kötü amaçlı yükü başlatan hesaplarını “doğrulamak” için manuel olarak bir komut dosyası çalıştırmaya yönlendirilir.
- Sahte Güvenlik Uyarıları – Windows veya antivirüs yazılımı gibi davranan açılır pencereler, kullanıcılara Windows + R’ye basmalarını ve bir sorunu “düzeltmek” için bir komut çalıştırmalarını söyler. Komut kötü niyetlidir.
- Sahte yazılım etkinleştirme sayfaları – Saldırganlar sahte bir deneme veya aktivasyon adımı sunar, kullanıcılardan bir komut dosyasını terminale kopyalamasını veya diyalog çalıştırmasını isteyerek kötü amaçlı yazılım yürütürler.
Gerçek dünyadaki tehdit algılamasında ücretsiz canlı web seminerini kaçırmayın
Modern tehditlerin gerçek ortamlarda nasıl yakalandığını görün ve deneyimli güvenlik uzmanlarından eyleme geçirilebilir teknikler öğrenin.
Ekibinizin tehditleri daha hızlı tespit etme, daha akıllıca yanıt verme ve saldırganların önünde kalma yeteneğini artırın. Koltuğunuzu talep etmek için şimdi kaydolun.
Tıkların uzlaşmaya dönüşmesine izin vermeyin
ClickFix, saldırganların tehlikeli yükler sunmak için günlük etkileşimleri kullanarak gizli kalmaya ne kadar gideceğini gösterir.
Bu gibi tehditlere karşı korumak için, işletmelerin yüzey düzeyinde tespitten daha fazlasına ihtiyacı vardır. Kötü amaçlı yazılımların gerçek senaryolarda nasıl davrandığını anlama, gözlemleme ve anlama yeteneğine ihtiyaçları vardır. Etkileşimli bir sanal alan tam olarak budur.
Bir olayın boşlukları ortaya çıkarmasını beklemeyin, kaymadan önce ClickFix gibi taktiklerin önüne geçin.
Açıklama: Bu makale Any.Run tarafından sağlanmıştır. Sunulan bilgi ve analiz, araştırmalarına ve bulgularına dayanmaktadır.