Siber güvenlik araştırmacıları, modern güvenlik savunmalarını aşmak için FileFix sosyal mühendisliğini önbellek kaçakçılığı teknikleriyle birleştiren kimlik avı saldırılarında karmaşık bir evrimi ortaya çıkardı.
Bu hibrit saldırı yöntemi, web istekleri yapmak için kötü amaçlı kod ihtiyacını ortadan kaldırır; bunun yerine yükleri, önbellek kaçakçılığı yoluyla yerleştirildikleri tarayıcının önbelleğinden doğrudan çıkarır.
Bu teknik, öncelikle güvenilmeyen kodun internete erişim yeteneğini izlemeye ve kısıtlamaya odaklanan güvenlik kontrollerinden kaçtığı için, rakip taktiklerde önemli bir ilerlemeyi temsil ediyor.
Saldırı, tehdit aktörlerinin sahte CAPTCHA oluşturduğu ve kurbanların sosyal mühendislik yoluyla kötü amaçlı komutlar yürütmesini sağlayan yerleşik ClickFix metodolojisine dayanıyor.
Bu kimlik avı tuzakları genellikle kullanıcılara Windows tuşu + R tuşlarına basarak Çalıştır iletişim kutusunu açmalarını, ardından Ctrl + V tuşlarına basarak pano içeriğini yapıştırmalarını ve Enter tuşlarına basarak yürütmelerini söyler.
Perde arkasında, kötü amaçlı web sayfasındaki JavaScript, kurbanın panosunu zaten zararlı komutlarla doldurmuştur.
Ancak Çalıştır iletişim kutusunun 260 karakterlik sınırı, saldırıların karmaşıklığını ciddi şekilde kısıtlayarak, saldırganları kolayca algılanan PowerShell veya MSHTA indiricilerine güvenmeye zorluyor.
FileFix, kurbanları kötü amaçlı komutları 2.048 karaktere kadar destekleyen Windows Gezgini’nin adres çubuğuna yapıştırmaya yönlendirerek bu sınırlamaya bir çözüm olarak ortaya çıktı.
Bu genişletilmiş kapasite, tehdit aktörlerinin, boşluklarla dolu kapsamlı dolgular kullanarak gerçek komutlarını gizlemelerine ve şüphelenmeyen kullanıcılara yalnızca zararsız görünen dosya yollarını göstermelerine olanak tanır.
Yakın zamanda gözlemlenen ve FortiClient Uyumluluk Denetleyicisi kılığına giren bir kampanya, Windows Gezgini’ni otomatik olarak açmak ve kurbanlara saldırı sırası boyunca rehberlik etmek için JavaScript’ten yararlanıyor.
Tarayıcı İşlevselliğini Silahlandırmak
Bu saldırıdaki kritik yenilik, FileFix’i, web tarayıcılarının CSS, JavaScript ve görüntü dosyaları gibi statik varlıkları depolama biçiminden yararlanan bir teknik olan önbellek kaçakçılığıyla birleştiriyor.
Bunu göstermek için, sayfa logosunun Exif verilerinin içine “Merhaba Dünya” DLL’sini gizleyen temel bir kavram kanıtlama kimlik avı sayfası hazırladım.
Saldırganlar, HTTP İçerik Türü başlıklarını değiştirerek, tarayıcıları, yürütülebilir dosyalar da dahil olmak üzere isteğe bağlı dosya türlerini meşru görüntü dosyaları olarak gizleyerek önbelleğe almaya zorlayabilir.
FortiClient kampanyasında kötü amaçlı JavaScript, aslında kötü amaçlı yazılım içeren bir ZIP arşivi olan sahte bir JPEG dosyasını almak için fetch() işlevini kullandı.
PowerShell verisi daha sonra tarayıcının önbellek dizininde ZIP dosyasını arar, kötü amaçlı kodu ayıklar ve çalıştırır; üstelik bunların tümünü genellikle uç nokta algılama ve yanıt sistemlerinden veya güvenlik duvarlarından gelen uyarıları tetikleyecek herhangi bir ağ bağlantısı kurmadan gerçekleştirir.
Bu yaklaşım, güvenilmeyen komut dosyalarından gelen şüpheli giden bağlantıları izlemek ve engellemek için tasarlanmış güvenlik katmanlarını atlatır.
Araştırmacılar, JPEG görüntülerde Exif meta veri kaçakçılığını kullanarak daha da karmaşık bir varyant geliştirdiler.
Değiştirilebilir Görüntü Dosyası Formatı, tüm alanı kullanabilen bireysel alanlarla birlikte 64 KB’a kadar meta veriyi destekler.
Saldırganlar, metin ayrıştırıcıların ASCII dizelerindeki boş baytları nasıl işlediğini kullanarak, görüntünün geçerliliğini koruyarak ve çoğu Exif ayrıştırıcı tarafından tespit edilmekten kaçınarak, “Görüntü Açıklaması” gibi standart Exif alanları içindeki yükleri gizleyebilir.
Bu teknik, PowerShell komut dosyalarının tam bir Exif ayrıştırıcıya ihtiyaç duymadan normal ifadeler kullanarak çıkarabileceği Exif verileri içindeki sınırlayıcı etiketler arasına şifrelenmiş yükleri yerleştirir.
Bu yöntem, gizlice kötü amaçlı kod taşırken, normal şekilde görüntülenen ve üstünkörü incelemeyi geçen meşru JPEG görüntüleri üretir. Veri, şifre çözülene kadar hiçbir zaman ham haliyle diskte görünmez, bu da erişim taramaları sırasında antivirüsün tespit edilme olasılığını önemli ölçüde azaltır.
Güvenlik Etkileri
Exif kaçakçılığı tekniği web tarayıcılarının ötesine geçerek e-posta istemcilerine kadar uzanır. Testler, Microsoft Outlook’un, görüntü önizlemesi devre dışı bırakıldığında bile görüntü eklerini önleyici bir şekilde önbelleğe aldığını ve indirdiğini ve en önemlisi Exif meta verilerini çıkarmadığını ortaya çıkardı.
Bu, saldırganların, kurbanın mesajı açmasına bile gerek kalmadan, özel hazırlanmış JPEG eki içeren bir e-posta göndererek, hedef sistemlere ikinci aşama veri yüklerini iletebileceği anlamına gelir.
Bu gelişme, güvenlik izlemedeki temel varsayımları zorluyor. Geleneksel savunmalar, yükleri doğrudan gömen veya bunları almak için web isteklerini gerçekleştiren kötü amaçlı komut dosyalarının tespit edilmesine dayanır.
Yükler meşru önbellekleme mekanizmaları yoluyla önceden kaçırıldığında, bu kontroller etkisiz hale gelir.
Bu teknik aynı zamanda, önceden belirlenmiş imzalar içeren dosyalar için yazılım önbellek dizinlerini izleyen, komut ve kontrolsüz yükleyicilerin oluşturulmasına da olanak tanır ve ağdaki tehlike göstergelerini tamamen ortadan kaldırır.
Güvenlik satıcıları, algılama stratejilerini, ikinci aşama veri yüklerinin aktif indirmeler yerine pasif önbellekleme mekanizmaları yoluyla geldiği senaryoları hesaba katacak şekilde uyarlamalıdır.
Kuruluşlar, önbelleğe alınmış dosyalardan meta verileri ayıran, tarayıcı önbellek dizinlerine olağandışı erişim modellerini izleyen ve ağ bağlantılarının olmadığı durumlarda bile şüpheli komut dosyası etkinliğini tanımlayabilen davranışsal analitiği dağıtan kontroller uygulamayı düşünmelidir.
Tehdit aktörleri yerleşik güvenlik kontrolleri etrafında yenilikler yapmaya devam ederken, savunucuların da etkili korumayı sürdürmek için görünürlüklerini geleneksel ağ tabanlı göstergelerin ötesine genişletmeleri gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.