
Meşru captcha sistemlerini taklit etmek için tasarlanmış sahte tarayıcı doğrulama istemleri ile kullanıcıları manipüle eden gelişmiş yeni bir kötü amaçlı yazılım saldırısı vektörü.
Bu saldırı, pano manipülasyonu ile birlikte sosyal mühendislik tekniklerinden yararlanır ve kurbanları, sistemlerinde gönüllü olarak kötü amaçlı kod yürütmeleri için kandırmak için PowerShell komutları.
Kampanya, kötü yazılım dağıtım yöntemlerinde önemli bir evrimi temsil ediyor, çünkü tanıdık güvenlik arayüzlerindeki kullanıcı güvenini kullanırken, geleneksel antivirüs algılama mekanizmalarını meşru sistem araçlarına ve kullanıcı etkileşimine güvenerek atlıyor.
Aldatıcı tarayıcı doğrulaması nasıl çalışır?
Alexander Zammit’e göre, saldırı, kullanıcıların standart bir tarayıcı güvenlik kontrolü gibi görünen şeylerle karşılaştıklarında, Google’ın Recaptcha sistemine benzeyen tanıdık “Robot değilim” arayüzüyle tamamlandığında başlar.
Bununla birlikte, sahte doğrulama istemi onay kutularını tıklamak veya resimleri tanımlamak yerine, kullanıcılara “tarayıcı kontrolünü tamamlamak” için bir dizi klavye kısayolu gerçekleştirmelerini söyler.
Kötü niyetli arabirim, görünüşte zararsız üç adım görüntüler: Windows tuşuna + R’yi Çalıştır iletişim kutusunu açmak için, pano içeriğini yapıştırmak için CTRL + V tuşlarına basın ve komutu yürütmek için Enter tuşuna basın.
Bu sosyal mühendislik yaklaşımı özellikle etkilidir, çünkü kullanıcıların düzenli olarak çevrimiçi karşılaştığı meşru güvenlik süreçlerini taklit eder.
Saldırganlar, orijinal tarayıcı güvenlik kontrollerinde bulunan benzer görsel öğeleri ve dili kullanarak arayüzü özenli görünecek şekilde tasarladılar.
Talimatlar, “optimum deneyimi sağlamak” için gerekli adımlar olarak sunulur ve sürecin şüpheli olmaktan ziyade rutin görünmesini sağlar.
Bu psikolojik manipülasyon, kullanıcıların güvenlik istemlerine koşullu yanıtlarını ve algılanan güvenlik gereksinimlerine uyma genel istekliliğini kullanır.
Teknik analiz, bu saldırının çekirdeğinin pano manipülasyonunun ve PowerShell gizleme tekniklerinin sofistike kullanımında yattığını ortaya koymaktadır.
Kullanıcılar kötü amaçlı siteyi ziyaret ettiklerinde, JavaScript kodu, bilgisi olmadan yoğun bir şekilde gizlenmiş bir PowerShell komutunu otomatik olarak panosuna kopyalar.
PowerShell yükü, statik analiz araçlarından ve antivirüs imzalarından kaçmak için Base64 kodlaması, dize birleştirme ve değişken ikame dahil olmak üzere birden fazla gizleme katmanı kullanır.
Gizli komut genellikle uzak sunuculardan ek kötü amaçlı yazılım yüklerini indirmek ve yürütmek için talimatlar içerir.
Güvenlik analistleri, kötü amaçlı yazılımın diske dosya yazmadan tamamen bellekte çalıştığı ve algılamayı önemli ölçüde daha zor hale getiren, filessiz saldırı tekniklerini içeren varyasyonlar gözlemlediler.
PowerShell yürütme, meşru pencerelerden ve hizmetlerden yararlanır ve kötü amaçlı yazılımların normal sistem işlemleriyle sorunsuz bir şekilde harmanlanmasına izin verirken, kayıt defteri değişiklikleri veya planlanan görevler yoluyla kalıcılık mekanizmalarını korur.
Koruma Stratejileri
Kuruluşlar ve bireysel kullanıcılar bu saldırı vektörüne karşı çeşitli savunma önlemleri uygulayabilir.
Tarayıcı güvenlik ayarları, otomatik pano erişimini önlemek için yapılandırılmalı ve kullanıcılar bu aldatıcı istemlere karşı gerçek Captcha sistemlerinin meşru görünümü konusunda eğitilmelidir.
Güvenlik Bilinçlendirme Eğitimi, meşru tarayıcı doğrulamasının asla Windows Run iletişim kutusu veya komut istemi aracılığıyla kullanıcıların komutları yürütmesini gerektirdiğini vurgulamalıdır.
Son nokta algılama ve yanıt (EDR) çözümleri, olağandışı PowerShell yürütme modellerini, özellikle de ağ bağlantılarını veya sistem değişikliklerini içerenleri izlemek için yapılandırılmalıdır.
Ağ güvenlik cihazları, ilk yük dağıtım ve müteakip komut ve kontrol iletişimi de dahil olmak üzere bu saldırılarla ilişkili karakteristik trafik modellerini tespit etmek üzere programlanabilir.
Ayrıca, uygulama beyaz listesi ve PowerShell yürütme politikalarının uygulanması, komut dosyası yürütülmesini önleyerek saldırı yüzeyini önemli ölçüde azaltabilir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri