ClickFix, FileFix, sahte CAPTCHA; adı ne olursa olsun, kullanıcıların web tarayıcılarındaki kötü amaçlı komut dosyalarıyla etkileşime girdiği saldırılar, hızla büyüyen bir güvenlik ihlali kaynağıdır.
ClickFix saldırıları, kullanıcıyı tarayıcıdaki bir tür sorunu veya zorluğu çözmeye yönlendirir (çoğunlukla bir CAPTCHA, aynı zamanda bir web sayfasındaki bir hatayı düzeltmek gibi şeyler).
Ancak adı biraz yanıltıcı; saldırıdaki temel faktör, kötü amaçlı kodu sayfa panosundan kopyalayıp yerel olarak çalıştırarak kullanıcıları cihazlarında kötü amaçlı komutlar çalıştırmaları için kandırmasıdır.
 |
| Vahşi doğada saldırganlar tarafından kullanılan ClickFix yemlerine örnekler. |
ClickFix’in Interlock fidye yazılımı grubu ve devlet destekli APT’ler de dahil olmak üzere diğer üretken tehdit aktörleri tarafından düzenli olarak kullanıldığı biliniyor. Kettering Health, DaVita, City of St. Paul, Minnesota ve Texas Tech Üniversitesi Sağlık Bilimleri Merkezleri gibi yakın zamanda gerçekleşen bir dizi halka açık veri ihlali ClickFix tarzı TTP’lerle ilişkilendirilmiştir (daha birçok ihlalin saldırı vektörünün bilinmediği veya açıklanmadığı durumlarda ClickFix’i içermesi muhtemeldir).
Peki bu saldırılar neden bu kadar etkili oluyor?
Sebep 1: Kullanıcılar ClickFix’e hazır değil
Geçtiğimiz on yıl veya daha uzun süredir, kullanıcı farkındalığı, kullanıcıların şüpheli e-postalardaki bağlantılara tıklamasını, riskli dosyaları indirmesini ve kullanıcı adlarını ve şifrelerini rastgele web sitelerine girmesini engellemeye odaklandı. Bir programı açmaya ve bir komutu çalıştırmaya odaklanmadı.
Kötü amaçlı pano kopyalama eyleminin perde arkasında %99 oranında JavaScript aracılığıyla gerçekleştirildiğini düşündüğünüzde şüpheniz daha da azalır.
 |
| Kullanıcı girişi olmadan bir ClickFix sayfasında kopyalama işlevini otomatik olarak gerçekleştiren, anlaşılır JavaScript kodu örneği. |
Modern ClickFix siteleri ve yemleri giderek daha meşru görünüme kavuşurken (aşağıdaki örneğe bakın), kullanıcıların kurban olması şaşırtıcı değil.
 |
| Daha okunaklı görünen ClickFix yemlerinden biri — bunda kullanıcıya ne yapması gerektiğini gösteren gömülü bir video bile var! |
Bu saldırıların e-postalardan tamamen uzaklaştığı gerçeği göz önüne alındığında, kullanıcıların şüphelenmek üzere eğitildikleri modele uymuyor.
Push Security araştırmacıları tarafından belirlenen en iyi dağıtım vektörünün şu olduğu bulundu: SEO zehirlenmesi & kötü amaçlı reklamcılık Google Arama aracılığıyla. Saldırganlar, yeni alan adları oluşturarak veya meşru olanları ele geçirerek, internette gezinen kullanıcıları engellemek için su kuyusu senaryoları oluşturuyor.
Şüphelenseniz bile, güvenlik ekibinizi Google Arama sonuçları, sosyal medya mesajları, web sitesi reklamları vb. konusunda bilgilendirecek kullanışlı bir “kimlik avı bildir” düğmesi veya iş akışı yoktur.
Sebep 2: ClickFix teslimat sırasında algılanmıyor
ClickFix saldırılarının teknik kontroller tarafından neden tespit edilemediğinin birkaç yönü vardır.
ClickFix sayfaları, diğer modern kimlik avı siteleri gibi, e-posta tarayıcılarından web tarama güvenlik araçlarına, ağ trafiğini analiz eden web proxy’lerine kadar güvenlik araçları tarafından işaretlenmelerini önleyen bir dizi tespitten kaçınma teknikleri kullanıyor. Tespitten kaçınma esas olarak, bilinen kötü tespitlerin (ör. engellenenler listeleri) önünde kalmak için etki alanlarının kamufle edilmesini ve döndürülmesini, analizi önlemek için bot korumasının kullanılmasını ve tespit imzalarının tetiklenmesini durdurmak için sayfa içeriğinin büyük ölçüde karartılmasını içerir.
Ve e-posta dışı teslimat vektörleri kullanıldığında, algılama fırsatının tamamı ortadan kaldırılır.
 |
| Diğer modern kimlik avı saldırıları gibi, ClickFix tuzakları da yalnızca e-postaya değil, internetin her yerine dağıtılır. |
Kötü amaçlı reklam, resme başka bir hedefleme katmanı ekler. Örneğin, Google Ads, belirli coğrafi konumlardan gelen, belirli e-posta alanı eşleşmelerine veya belirli cihaz türlerine (ör. masaüstü, mobil vb.) göre uyarlanmış aramalara hedeflenebilir. Hedefinizin nerede bulunduğunu biliyorsanız reklam parametrelerini buna göre uyarlayabilirsiniz.
İşletim sisteminize uygun bir yem döndürmek için koşullu yükleme gibi diğer tekniklerin yanı sıra (veya belirli koşullar karşılanmadığı sürece, örneğin bir mobil işletim sisteminden veya hedef IP aralığının dışından ziyaret ediyorsanız hiç tetiklenmemesi), saldırganlar, e-posta katmanındaki güvenlik kontrollerinden kaçınarak ve istenmeyen analizleri önleyerek çok sayıda potansiyel kurbana ulaşma yoluna sahiptir.
 |
| Titreşim kodlu bir site üzerine inşa edilmiş ClickFix yeminin örneği. |
Son olarak, kod tarayıcı sanal alanının içine kopyalandığından, tipik güvenlik araçları bu eylemi gözlemleyemez ve potansiyel olarak kötü amaçlı olarak işaretleyemez. Bu, kuruluşların ClickFix’i durdurması için son ve tek fırsatın, kullanıcı kötü amaçlı kodu çalıştırmayı denedikten sonra uç noktada olduğu anlamına gelir.
Sebep 3: EDR son ve tek savunma hattıdır ve kusursuz değildir
Saldırının EDR tarafından durdurulabilecek ve durdurulması gereken birden fazla aşaması vardır, ancak artan tespit düzeyi ve bir eylemin gerçek zamanlı olarak engellenip engellenmediği bağlama göre belirlenir.
Web’den dosya indirilmediği ve makinede kod çalıştırma eylemi kullanıcı tarafından başlatıldığı için, eylemi başka bir uygulamaya bağlayan, şüpheli görünmesini sağlayacak bir bağlam yoktur. Örneğin, Outlook veya Chrome’dan çalıştırılan kötü amaçlı PowerShell açıkça şüpheli görünebilir, ancak kullanıcı tarafından başlatıldığı için kodun teslim edildiği bağlamdan izole edilmiştir.
Kötü amaçlı komutların kendisi karartılmış olabilir veya sezgisel kurallar tarafından kolayca tespit edilmesini önlemek için aşamalara bölünebilir. EDR telemetrisi bir PowerShell işleminin çalıştığını kaydedebilir, ancak bilinen bir kötü imza veya açık bir politika ihlali olmadığı sürece bunu hemen işaretlemeyebilir.
Saldırının herhangi bir saygın EDR tarafından durdurulması gereken son aşama, kötü amaçlı yazılımın çalıştırıldığı noktadır. Ancak tespitten kaçınmak bir kedi-fare oyunudur ve saldırganlar her zaman tespit araçlarından kaçmak veya devre dışı bırakmak için kötü amaçlı yazılımlarında ince ayar yapmanın yollarını ararlar. Yani istisnalar olabiliyor.
Çalışanların ve yüklenicilerin yönetilmeyen BYOD cihazlarını kullanmasına izin veren bir kuruluşsanız, EDR kapsamınızda boşlukların olması ihtimali yüksektir.
Sonuçta kuruluşlar kendilerini tek bir savunma hattına bağımlı bırakıyor; saldırı EDR tarafından tespit edilip engellenmezse hiçbir şekilde tespit edilemiyor.
Standart öneriler neden yetersiz kalıyor?
Satıcıdan bağımsız önerilerin çoğu, tipik kullanıcılar için Windows Çalıştır iletişim kutusu gibi hizmetlere erişimi kısıtlamaya odaklanmıştır. Ancak mshta ve PowerShell en sık gözlemlenenler olmaya devam etse de güvenlik araştırmacıları, çoğuna kullanıcıların erişmesini engellemek zor olan farklı hizmetleri hedef alan geniş bir LOLBINS yelpazesini zaten tespit etti.
ClickFix tarzı saldırıların gelecekte nasıl gelişmeye devam edebileceğini de düşünmekte fayda var. Mevcut saldırı yolu, tarayıcı ve uç nokta arasında yer alıyor; ya tamamen tarayıcıda gerçekleşip EDR’den tamamen kaçabilseydi? Örneğin, kötü amaçlı JavaScript’i doğrudan ilgili web sayfasındaki geliştirici araçlarına yapıştırarak.
 |
| Mevcut hibrit saldırı yolu, saldırganın, tarayıcıda depolanan kimlik bilgilerine ve çerezlere erişim sağlamak için uç noktayı tehlikeye atmak için tarayıcıya yemler dağıttığını görüyor. Peki ya bitiş noktasını tamamen atlayabilseydiniz? |
ClickFix’i tarayıcıda ön sırada durdurma
Push Security’nin en yeni özelliği olan kötü amaçlı kopyalama ve yapıştırma tespiti, tarayıcı tabanlı tespit ve engelleme yoluyla ClickFix tarzı saldırılarla ilk fırsatta mücadele eder. Bu, yem dağıtım kanalından, sayfa stilinden ve yapısından veya kötü amaçlı yazılım türünün ve yürütülmesinin özelliklerinden bağımsız olarak çalışan, evrensel olarak etkili bir kontroldür.
Kopyala-yapıştır’ı tamamen engelleyen ağır DLP çözümlerinin aksine Push, kullanıcı deneyimlerini bozmadan veya üretkenliği engellemeden çalışanlarınızı korur.
Daha fazla bilgi için aşağıdaki videoya göz atın.
Daha fazla bilgi edin
ClickFix saldırıları ve bunların nasıl geliştiği hakkında daha fazla bilgi edinmek istiyorsanız, Push Security araştırmacılarının gerçek dünyadaki ClickFix örneklerine dalacağı ve ClickFix sitelerinin aslında nasıl çalıştığını göstereceği bu web seminerine göz atın.
Push Security’nin tarayıcı tabanlı güvenlik platformu, AiTM kimlik avı, kimlik bilgileri doldurma, ClickFixing, kötü amaçlı tarayıcı uzantıları ve çalıntı oturum belirteçlerini kullanarak oturum ele geçirme gibi tekniklere karşı kapsamlı saldırı algılama ve yanıt yetenekleri sağlar. Kimlik saldırısı yüzeyinizi güçlendirmek amacıyla çalışanlarınızın kullandığı uygulamalardaki hayalet oturum açma bilgileri, SSO kapsamı boşlukları, MFA boşlukları, savunmasız parolalar, riskli OAuth entegrasyonları ve daha fazlası gibi güvenlik açıklarını bulmak ve düzeltmek için de Push’u kullanabilirsiniz.
Push hakkında daha fazla bilgi edinmek için en son ürün genel bakışımıza göz atın veya ekibimizden biriyle canlı bir demo için zaman ayırın.