ログインフィールドを超えて: ユーザーが準備できていないフィッシングの巧妙な手法
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
現代のフィッシングは、基本的な資格情報の窃盗をはるかに超えて進化し、ClickFix、ブラウザ内のブラウザ、OAuth同意フィッシング、デバイスコードフィッシング、偽のビデオ会議オーバーレイなどの高度な手法が含まれています。これらのアプローチは、信頼されたシステムツール、正当なクラウドプラットフォーム、および一般的なユーザートラブルシューティング行動を悪用することで、従来の意識啓発トレーニングを回避します。攻撃者は、パスワードを盗むだけでなく、ユーザーに悪意のあるセッションを承認させたり、ネイティブ端末ユーティリティを通じてコマンドを実行させることで、多要素認証を回避しようとすることが増えています。
調査
Huntressは、管理されたEDRおよびITDRサービスを通じてこれらの変化する戦術を観察し、ブラウザネイティブの悪用とソーシャルエンジニアリングショートカットへの広範なシフトを特定しました。チームは、デバイスコードフィッシングの急増を指摘し、ClickFixスタイルの攻撃がどのようにしてユーザーの筋肉記憶を利用して悪意のあるコマンド実行を引き起こすかを調査しました。研究はまた、MicrosoftやGoogleなどの正当なプラットフォームに対するユーザーの信頼を悪用して、許可されていないアクセスを獲得する方法を示しています。
緩和策
組織は、静的なセキュリティ意識プログラムを超えて、現在のフィッシング貿易を反映したインタラクティブなシミュレーションを採用すべきです。ユーザーは、ブラウザフレーム外にドラッグできない偽のウィンドウなど、疑わしいブラウザの動作を見分ける訓練を受け、自己発信でないデバイス認証コードを入力しないようにするべきです。強力なITDRおよびEDR制御は、許可されていないOAuth支援および疑わしいコマンド実行活動を検出するためにも不可欠です。
対応
疑わしいコマンド実行が検出された場合、たとえば Win+R に続いて予期しない端末活動がある場合、レスポンダーは即座にエンドポイントを隔離する必要があります。OAuthまたはデバイスコードの妥協が疑われる場合、管理者は影響を受けたアカウントのすべてのアクティブなセッションとリフレッシュトークンを取り消し、最近のアプリケーション同意活動をレビューするべきです。監査ログも、異常なMicrosoft Entra IDイベントや許可されていないRMMツールのインストールの兆候がないか確認する必要があります。
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインのプレフライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするように設計された敵の手法(TTP)の正確な実行を詳述します。コマンドと叙述は、特定されたTTPを直接反映し、検出ロジックによって予想される正確なテレメトリを生成することを目的としています。抽象的または無関係の例は誤診を招くでしょう。
-
攻撃の叙述&コマンド: 敵は、偽の「CAPTCHA」または「ブラウザ更新」プロンプトを使用してユーザーを欺きます。プロンプトは、ユーザーにプレスするように指示します。
Win+R, 次にCtrl+V, 次にEnterするように、「自分が人間であることを確認するため」と言われます。ユーザーは知らずに悪意のあるコマンドを貼り付け、それがCAPTCHA_verification.txtという名前のファイルを作成し、続いてユーザーの貼り付けた入力を模倣する指示文字列を含むシェルコマンドを実行します。このシミュレーションは、「CAPTCHA_file.txt」という名前のファイルを作成し、「Ctrl+V」と「Enter」の文字列を含むコマンドを実行して、ルールの選択1and選択2条件を満たすために実行します。 -
回帰テストスクリプト:
# ClickFix TTPsのシミュレーション # 1. 'CAPTCHA'を名前に含むファイルを作成し、選択2をトリガーする (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. コマンドラインで 'Ctrl+V' と 'Enter' を使用してプロセスを実行し、選択1をトリガーする (EventID 1) # 目標プロセスとしてcmd.exeを使用します。 Start-Process cmd.exe -ArgumentList "/c echo User pressed Ctrl+V and Enter > $filePath" -
クリーンアップコマンド:
# シミュレートされたアーティファクトのクリーンアップ Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue