サイバー犯罪者は「ClickFix」ソーシャルエンジニアリング戦術を改良し、目立つPowerShellスクリプトからペイロード配信のためのnslookup.exeへの隠密的な悪用へシフトしています。
正当なDNSクエリのために設計されたこのWindowsコマンドラインツールは、一般的なアラートをトリガーすることなくDNSチャネル経由でマルウェアをステージングできるようにします。
古典的なClickFix攻撃では、ユーザーは偽のエラーページから悪意のあるコードをコピーペーストします。以前のバージョンではデータ流出のために明らかなPowerShell文字列またはTXTレコードが使用され、エンドポイント検出ツールは容易にこれらを検出しました。
攻撃者はnslookup.exeの「Name」応答フィールドを悪用することで対応しました。これは悪意のあるフェッチを通常のネットワークトラフィックと混ぜ、TXTベースのDNSトンネリングに焦点を当てたモニターを回避します。
HassoubはLinkedInでこのテクニックを詳しく説明し、信頼されたシステムバイナリを使用して隠れる「Living off the Land」(LoLBin)戦術の例となることを指摘しました。
攻撃フローは、攻撃者が制御するドメインに対してnslookupコマンドを実行するようフィッシングルアーで促すことから始まります。
例えば、被害者はnslookup example.com 8.8.8.8を実行するかもしれません。ここでレスポンスの「Name」フィールドはBase64エンコードされたペイロードを含みます。nslookupはこれをメモリ内に直接デコードしてステージングし、ダウンロードをバイパスします。
この低ノイズ方法は、管理者のDNSルックアップを模倣するため、エンタープライズ環境で検出されずに進みます。
標準的な防衛ツールはここで失敗します。PowerShellの異常またはTXTレコードをスキャンするツールはnslookup.exeの微妙な役割を見逃します。
SOCチームはLoLBin動作への狩猟を拡大し、nslookup実行を疑わしいDNSレスポンスと関連付ける必要があります。
HassoubはFalconユーザー向けに2つのCrowdStrike Query Language(CQL)リードをリリースしました:
これらのクエリは、悪質なドメインへの繰り返されたクエリやサイズ超過の「Name」フィールドなどのパターンについて、エンタープライズログをフィルタリングします。
防御者は通常のnslookup使用法をベースラインして、管理者以外のコンテキストからのクエリなど、逸脱についてアラートする必要があります。
ハッシュやIPなどの特定のIOCはまだ表面化していませんが、Hassoubの投稿からドメインを監視してください。パッチ管理とユーザー訓練は、信頼できないDNSリゾルバーをブロックしてClickFixルアーをシミュレートすることに重要なままです。
このキャンペーンはDNSの二重使用リスクを強調しています。攻撃者が革新するにつれて、CrowdStrikeのようなツールによるプロアクティブな狩猟はギャップを閉じます。ペイロードのステージングを阻止するために今すぐ検出を確認してください。
翻訳元: https://cyberpress.org/hackers-abuse-nslookup/