CyberProofのセキュリティ研究者らは、ClickFix攻撃の新しい亜種を発見しました。この亜種は被害者を欺いて自分のデバイスに感染させるもので、PowerShellやmsht aなどの厳密に監視されているスクリプトツールに依存してアラートをトリガーした旧バージョンとは異なります。
この更新された方法はネイティブのWindowsコンポーネントを悪用します。Windowsの実行ダイアログ、rundll32.exe、およびWebDAVを組み合わせることで、攻撃者は主にスクリプトベースのアクティビティを監視するセキュリティ防御を簡単に回避できます。
攻撃チェーンはソーシャルエンジニアリングから始まり、被害者が侵害されたまたは悪意のあるウェブサイトにアクセスするときに起動します。このキャンペーンでは、研究者らは「healthybyhillary[.]com」でホストされている偽のCAPTCHAページを観察しました。
このページは、ユーザーに「Win + R」キーボードショートカットを使ってWindows実行アプリケーションを開き、「Ctrl + V」を使ってコピーしたコマンドを貼り付け、Enterキーを押すよう促します。
ユーザーがコマンドを実行すると、rundll32.exeはポート80の外部サーバーに接続します。WebDAV mini-redirectorを使用して、Windowsオペレーティングシステムをだまして、リモートWebアドレスにローカルファイル共有のようにアクセスさせます。
動作をさらに隠し、静的検出を回避するため、コマンドは認識可能な関数名の代わりに序数「#1」を使用してエクスポート関数を呼び出します。
初期コマンドが実行された後、rundll32.exeは「verification.google」という名前のリモートDLLファイルを取得します。このファイルはセカンダリローダーであるSkimokKeepとして機能し、コンピュータのメモリ内で完全に動作します。
感染チェーンはその後、非対話型フラグを使用してPowerShellに遷移し、追加のペイロードを静かにダウンロードして実行します。
SkimokKeepはセキュリティアナリストとサンドボックス環境から身を隠すための高度なトリックを使用します。必要とされるWindows APIを公然とリストするのではなく、DJB2ハッシングと呼ばれる方法を使用してそれらをオンザフライで見つけます。
また、システムをチェックして、自動セキュリティサンドボックスではなく実際の被害者のマシン上で実行されていることを確認します。
この脅威に対処するため、セキュリティチームは従来のスクリプト監視を超えて、ネイティブWindowsツールを使用した異常な動作の検出に焦点を当てる必要があります。
不要なWebDAVトラフィックを制限し、CyberProofの異常なユーザー開始の実行を監視することも、攻撃を早期に停止するのに役立ちます。
このキャンペーン全体はユーザーが初期の悪意のあるコマンドを実行することに依存しているため、スタッフに偽のCAPTCHAページの危険性について教育することが重要です。
翻訳元: https://cyberpress.org/clickfix-evades-powershell-detection/