FileFix Saldırısı, gizli komutlar için Windows File Explorer’ı silahlandırıyor


FileFix saldırıları, gizli PowerShell komutları için Windows Dosya Explorer'ı silahlandırıyor

Bir siber güvenlik araştırmacısı, Windows’taki Dosya Explorer adres çubuğu aracılığıyla kullanıcıları kötü amaçlı komutlar yürütmeye kandıran ClickFix Sosyal Mühendislik Saldırısı’nın bir çeşidi olan FileFix’i geliştirdi.

ClickFix adı verilen sosyal mühendislik saldırısının bir varyasyonu olan FileFix, tehdit aktörlerinin Windows’taki Dosya Gezgini adres çubuğu aracılığıyla kurban sistemindeki komutları yürütmesine izin verir.

Siber güvenlik araştırmacısı Mr.D0X yeni yöntemi keşfetti ve basit sosyal mühendislik tekniklerini kullanarak şirket çalışanlarını hedefleyen saldırılarda kullanılabileceğini gösterdi.

ClickFix saldırıları tarayıcı tabanlıdır ve kullanıcıları bir komutu Windows panosuna kopyalayan bir web sitesindeki bir düğmeye tıklamaya çalışmaya güvenir. Kullanıcılara daha sonra komutu PowerShell’e veya bir sorunu çözmek için başka bir komut istemine yapıştırmaları talimatı verilir.

Bu tür saldırılar, genellikle konuyu “düzeltmeden” kullanıcının bir site kullanmasını engelleyen captchas veya hatalar olarak maskelenir.

Filefix Divergence

Bir ClickFix saldırısında, kullanıcılar bir web sitesi düğmesine tıkladığında, kötü niyetli bir PowerShell komutu Windows panosuna otomatik olarak kopyalanır ve ardından Çalıştır iletişim kutusundan (WIN+R) komut istemine yapıştırma talimatları gelir.

Mr.D0X aynı hedefe ulaşmanın bir yolunu buldu, ancak hedefin Windows Dosya Gezgini’nin daha tanıdık kullanıcı arayüzünde komutu yapıştırarak.

Dosya Explorer işletim sistemi komutlarını yürütebildiğinden, araştırmacı işlevselliği tarayıcının dosya yükleme özelliğiyle birleştirdi ve son derece makul bir senaryo buldu.

FileFix saldırıları da bir kimlik avı sayfasına güvenir, ancak ruse artık bir hata veya sorun olarak sunulmaz. Bunun yerine, bir dosyanın kullanıcı ile paylaşıldığını gösteren bir bildirim olarak görünebilir ve onu bulmak için Dosya Gezgini’ne yolu yapıştırma isteği içerebilir.

“Kimlik avı sayfasında, tıklandığında dosya explorer’ı yükleme işlevi aracılığıyla başlatan ve PowerShell komutunu panoya kopyalayan bir“ Dosya Gezgini Aç ”düğmesi içerir” – Mr.D0X

Bununla birlikte, aldatmayı sağlam tutmak için, bir saldırgan bir PowerShell yorumunda kukla bir dosya yolunu oluşturarak kötü niyetli PowerShell komutunu gizleyebilir.

Bu, yalnızca sahte yolun Dosya Gezgini adres çubuğunda görülmesine neden olur ve ondan önce gelen kötü niyetli PowerShell komutunu gizler.

Yeni ClickFix varyasyonunu gösteren bir video, PowerShell komutundan sonra kukla dosya yolunu yorum olarak yerleştirerek kötü amaçlı dizenin artık kullanıcı tarafından görünmediğini ve Dosya Explorer’ın yürüttüğünü gösterir.

Saldırı bir dosya yükleme düğmesi gerektirdiğinden, araştırmacı, kullanıcıların yanlışlıkla bilgisayardan bir dosya seçmesinden kaçınması için dosya kutusu yöntemini dikkatlice değerlendirdi.

Kimlik avı sayfasının kavram kanıtı kodunda, Mr.D0X, dosya yükleme eylemini bloke eden birkaç satır ekledi.

Bu olursa, bir saldırgan kullanıcılara talimatları izleyemediklerini ve tekrar denemediklerini bildiren bir uyarı görüntüleyebilir.

Tıklama Kampanyaları

ClickFix saldırılarının, fidye yazılımı saldırılarında kullanıldığı kullanıcı sistemlerine kötü amaçlı yazılım dağıtmak için o kadar verimli bir yöntem olduğu kanıtlanmıştır ve hatta bunu kullanılan devlet destekli gruplar.

Kuzey Kore Eyalet hacker grubu ‘Kimuky’, kampanyalarından birine ClickFix öğelerini dahil ettikleri ve hedefleri, PowerShell’i yönetici olarak çalıştırmak için talimatları gösteren sahte bir cihaz kayıt bağlantısına yönlendirmek için bir PDF dosyası kullandıkları ve saldırgan tarafından sağlanan macun kodunu ekledi.

Microsoft tarafından gözlemlenen bir ClickFix kampanyasında, siber suçlular, Infostealers ve uzaktan erişim truva atlarını misafirperverlik çalışanlarına teslim etmek için Booking.com’u taklit etti.

Saldırı yöntemi ayrıca, kötü niyetli bir web sitesini ziyaret ettikten sonra bir kabuk komutunun otomatik olarak panoya kopyalandığı Linux’a uyarlanmıştır. Potansiyel kurban daha sonra bir çalışma iletişim kutusunu açmaya ve komutu yürütmeye yönlendirilir.

FileFix, bir varyasyon olmasına rağmen, bu tür kimlik avı saldırılarının komut yürütmeyi daha dostça ve kullanıcılara daha tanıdık bir ortama değiştirerek geliştirilebileceğini gösterir.

Mr.D0X, BleepingComputer’a, dosya basıncı saldırısının yakında tehdit aktörleri tarafından basitliği ve tanınmış bir Windows yardımcı programının kullanımı nedeniyle kabul edileceğine inandığını söyledi.

Geçmişte, siber suçlular, araştırmacının tarayıcıdaki tarayıcı kimlik avı tekniğini hızla kullanmaya başladılar ve kötü aktörlerin sürekli olarak yeni saldırı yöntemlerini öğrenmekle ilgilendiklerini gösterdi.

Tines iğnesi

Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.

Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.





Source link