出典:Tada Images(Shutterstock経由)
新たに発見された攻撃ベクターは、ClickFix手法を応用し、現代のブラウザがHTMLファイルを保存する仕組みを悪用して、重要なセキュリティ機構を回避し、ユーザーをだましてワンクリック型フィッシング攻撃による悪意あるコンテンツの配信に参加させるものです。
この攻撃ベクターは、ペネトレーションテスターでありセキュリティ研究者でもあるmr.d0xによって発見され、「FileFix 2.0」と名付けられました。攻撃ベクターは、ブラウザがHTMLコンテンツを保存する方法を操作し、ユーザーが意図せず悪意あるファイルをデバイスにダウンロードしてしまい、攻撃が発動する可能性があります。
研究者は最近、2つの別々のブログ記事でFileFixについて共有し、Google ChromeやMicrosoft Edgeなどの現代ブラウザで、攻撃手法の2つのバリエーションが「おとりとすり替え」テクニックを使う様子を実演しました。基本的に、この攻撃はHTMLファイルが重要なメタデータなしで保存される仕組みを利用し、人々に疑わしい活動を警告することなく、攻撃者が正規ファイルを悪意あるものにすり替えて任意のコードを実行させることを可能にします。
「ChromeとMS Edgeの挙動を分析しているとき、興味深い発見をしました」とmr.d0xは2つ目のブログ記事で説明しています。「HTMLページをCtrl+Sまたは右クリック>『名前を付けて保存』で保存し、『Webページ、単一ファイル』または『Webページ、完全』のいずれかのタイプを選択した場合、ダウンロードされるファイルにはMoTW(Mark of the Web)が付きません。」
MoTWは、Microsoft Windowsがインターネットからダウンロードされたファイルを潜在的に安全でないものとしてマークするために使用するメタデータ識別子です。もし誰かがMoTWなしでインターネットからファイルをダウンロードした場合、そのファイルに悪意ある内容が含まれていても気付かない可能性が高くなります。この保護を回避することで、攻撃者はFileFixを使って、社会工学的手法でユーザーにファイルのダウンロードの緊急性や重要性を信じ込ませ、マルウェアを配布できます。
FileFixのソーシャルエンジニアリング・ベクター
ClickFixは、昨年Proofpointの研究者によって初めて詳細に説明された攻撃手法で、侵害されたウェブサイトがPowerShellコードを実行してユーザーに偽のエラーメッセージを表示し、ブラウザのアップデート問題を修正しなければならないと信じ込ませます。しかし実際には、「アップデート」をインストールするとデバイス上でマルウェアが実行されます。発見以来、このベクターは脅威アクターの間で着実に広まっています。
mr.d0xは、FileFix用にClickFixと同様のベクターを開発し、ソーシャルエンジニアリングを使ってブラウザユーザー自身に悪意ある攻撃に参加させます。彼が説明したバリエーションの1つでは、バックアップコードを表示するHTMLウェブページを保存するよう人々に求めるWebページを開発しました。この方法は、消費者向け・企業向けWebユーザーの両方に適用できます。そのWebページはGoogleやMicrosoftの認証ページの正規要素を模倣しており、人々は本当に重要なセキュリティ情報を自分のシステムに保存していると信じます。しかし実際には、任意のコードを実行できる悪意あるHTMLページを保存することになります。
FileFix手法では、バックアップコード付きのページをCtrl+Sで保存すると、ブラウザは保存ファイルのデフォルト名を<title></title>要素の内容に自動設定します。POC(概念実証)デモでは「Save Backup Codes」となっています。「システム設定でファイル拡張子が表示される場合、ユーザーは『Save Backup Codes.html』と表示されるでしょう」とmr.d0xは説明しています。
悪意ある仕掛け
「もし<title>が『Save Backup Codes.hta』に設定されていて、ファイル拡張子が表示されていなければ、ファイルは『Save Backup Codes.hta.html』として保存されます」と記事にはあります。「しかし、ユーザーがファイル名を変更した場合、たとえ全く同じ名前を再入力しただけでも、ブラウザはもう.htmlを付け加えません。」
攻撃の成功率を高めるために、脅威アクターはタイトルを_.htaのように設定し、ユーザーにアンダースコアを適切な名前に変更させるよう促すことができますと研究者は説明しています。
もし防御側が「タイトルが.htaで終わる」ことだけでウェブサイトを検知し始めた場合、攻撃者は<title>要素を完全に削除し、HTMLフィッシングファイルのファイル拡張子を.htaに変更し、Content-Typeヘッダーにtext/htmlを送信できます。「この場合、ページを保存するとデフォルトの『名前を付けて保存』名がファイル名になります」とmr.d0xは説明しており、ユーザーは悪意ある意図に気付きません。
攻撃の緩和策
mr.d0xはFileFixに関するいずれの投稿でも、この攻撃についてGoogleやMicrosoftに連絡したかどうかには言及しておらず、Dark Readingのコメント要請にもすぐには応じませんでした。研究者は、近日中にさらに別の攻撃バリエーションの詳細を公開する予定です。
Googleは水曜日、Dark Readingのコメント要請にすぐには応じませんでした。
Microsoftの広報担当者は次の声明を出しました。「このソーシャルエンジニアリング手法は、攻撃者がユーザーをだまして、Windowsのあまり一般的でない場所に特定の悪意あるコマンドを貼り付けさせる必要があります。私たちはこのような手法を含む脅威の状況を継続的に監視し、防御の多層化戦略の一環としてセキュリティ対策を実装し、お客様の保護に努めています。セキュリティのベストプラクティスとして、お客様にはオンラインでの良好なコンピューティング習慣を実践し、ファイルのダウンロードや不明なソースからの指示やコマンドの実行には注意することを推奨します。」
この攻撃ベクターで.htaファイルが使われるのを防ぐには、mshta.exeが.htaファイルを実行できないようにすることで対応できますと研究者は述べています。「この方法は、他のファイルタイプでこの手法が利用されない限り、有効な解決策です」とmr.d0xは記しています。
ClickFixおよびFileFix全般に対する防御策として、組織はブラウザから発生するcmd.exe、powershel.exe、mshta.exeなどの不審な子プロセスを監視することも推奨されますと研究者は付け加えています。
翻訳元: https://www.darkreading.com/endpoint-security/clickfix-spin-off-bypassing-key-browser-safeguards