SOC Prime Bias: Високий

30 Jun 2026 07:00 UTC

Поза межами поля входу: техніка фішингу, до якої користувачі не готові

Author Photo
SOC Prime Team linkedin icon Стежити
Поза межами поля входу: техніка фішингу, до якої користувачі не готові
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Сучасний фішинг далеко вийшов за межі звичайного викрадення облікових даних і зараз включає такі розвинені техніки, як ClickFix, Browser-in-the-Browser, фішинг з використанням згоди OAuth, фішинг з використанням коду пристрою та фальшиві накладки для відеоконференцій. Такі підходи обходять традиційні навчальні програми через зловживання інструментами довіри системи, легітимними хмарними платформами та типовою поведінкою користувачів під час усунення несправностей. Замість того, щоб лише викрадати паролі, зловмисники все частіше прагнуть обійти багатофакторну аутентифікацію, переконуючи користувачів затверджувати шкідливі сеанси або виконувати команди за допомогою власного термінального утиліту.

Розслідування

Huntress спостерігав за цими змінюваними тактиками через свої керовані EDR та ITDR сервіси, виявляючи ширші зміни напрямку на зловживання браузерами та спрощення соціальної інженерії. Команда відзначила різке збільшення фішингу з використанням коду пристрою і вивчила, як атаки у стилі ClickFix експлуатують пам’ять користувача, щоб викликати виконання шкідливої команди. Дослідження також показують, як зловмисники використовують довіру, яку користувачі надають легітимним платформам, таким як Microsoft та Google, для отримання несанкціонованого доступу.

Пом’якшення

Організації повинні виходити за межи статичних програм підвищення обізнаності безпеки і впроваджувати інтерактивні симуляції, що відображають поточну фішингову стратегію. Користувачів слід навчити розпізнавати підозрілу поведінку браузера, зокрема, фальшиві вікна, які не можна перетягнути за межі рамки браузера, та уникати введення кодів авторизації пристрою, які вони не ініціювали самі. Сильні ITDR та EDR контролі також є важливими для виявлення несанкціонованих OAuth затверджень та підозрілої активності виконання команд.

Відповідь

Коли виявлено підозріле виконання команд, як, наприклад, Win+R у поєднанні з несподіваною термінальною активністю, реагуючі мають негайно ізолювати кінцеву точку. У випадках підозри на компрометацію OAuth або коду пристрою адміністратори повинні відкликати всі активні сесії та оновити токени для постраждалого облікового запису і переглянути останню діяльність з надання згоди для додатків. Журнали аудиту також слід перевірити на незвичайні події Microsoft Entra ID та на ознаки несанкціонованої установки RMM інструментів.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії має бути успішною.

Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив ПОВИННІ напряму відображати виявлені TTP і мати на меті генерування точної телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильного діагностування.

  • Опис атаки та команди: Супротивник використовує фальшиве повідомлення “CAPTCHA” або “Оновлення браузера”, щоб обманути користувача. Повідомлення інструктує користувача натиснути Win+R, потім Ctrl+V, потім Enter , щоб “перевірити, чи вони людина.” Користувач несвідомо вставляє шкідливу команду, яка створює файл з назвою CAPTCHA_verification.txt а потім виконує оболонкову команду, що містить рядки інструкцій для імітації “вставленого” вводу користувача. Ця симуляція створить файл з назвою “CAPTCHA_file.txt”, а потім виконає команду, що містить рядки “Ctrl+V” та “Enter”, щоб задовольнити вибірка1 and вибірка2 умови.

  • Скрипт тесту на регресію:

    # Симуляція TTPs ClickFix
    # 1. Створіть файл з "CAPTCHA" у назві, щоб активувати вибірку2 (EventID 11)
    $filePath = "$env:TEMPCAPTCHA_instruction.txt"
    New-Item -Path $filePath -ItemType File -Force
    
    # 2. Виконайте процес з "Ctrl+V" та "Enter" у командному рядку, щоб активувати вибірку1 (EventID 1)
    # Використовуємо cmd.exe як цільовий процес.
    Start-Process cmd.exe -ArgumentList "/c echo User pressed Ctrl+V and Enter > $filePath"
  • Команди очищення:

    # Очистіть симульовані артефакти
    Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue