Jenseits des Login-Feldes: Die Phishing-Handwerkstechniken, auf die Benutzer nicht vorbereitet sind
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Moderne Phishing-Methoden haben sich weit über den grundlegenden Diebstahl von Anmeldeinformationen hinausentwickelt und umfassen nun fortgeschrittene Techniken wie ClickFix, Browser-in-the-Browser, OAuth-Zustimmungs-Phishing, Gerätecoden-Phishing und gefälschte Video-Konferenzüberlagerungen. Diese Ansätze umgehen herkömmliche Bewusstseinsschulungen, indem sie vertrauenswürdige Systemwerkzeuge, legitime Cloud-Plattformen und gängiges Benutzer-Fehlersuchverhalten ausnutzen. Anstatt nur Passwörter zu stehlen, zielen Angreifer zunehmend darauf ab, die Multi-Faktor-Authentifizierung zu umgehen, indem sie Benutzer dazu bringen, bösartige Sitzungen zu genehmigen oder Befehle über native Terminal-Werkzeuge auszuführen.
Untersuchung
Huntress beobachtete diese sich ändernden Taktiken durch seine verwalteten EDR- und ITDR-Dienste und identifizierte eine breitere Verschiebung hin zu browsernativen Ausnutzungen und Abkürzungen der sozialen Technik. Das Team verzeichnete einen deutlichen Anstieg beim Gerätecoden-Phishing und untersuchte, wie ClickFix-ähnliche Angriffe die Benutzer-Muskelgedächtnis ausnutzen, um bösartige Befehlsausführungen auszulösen. Die Forschung zeigt auch, wie Angreifer das Vertrauen der Benutzer in legitime Plattformen wie Microsoft und Google ausnutzen, um unbefugten Zugriff zu erhalten.
Abschwächung
Organisationen sollten über statische Sicherheitsbewusstseinsprogramme hinausgehen und interaktive Simulationen einführen, die das aktuelle Phishing-Handwerk widerspiegeln. Benutzer sollten darin geschult werden, verdächtiges Browserverhalten zu erkennen, einschließlich gefälschter Fenster, die nicht aus dem Browserrahmen gezogen werden können, und das Eingeben von Gerätezulassungscodes zu vermeiden, die sie nicht selbst initiiert haben. Starke ITDR- und EDR-Kontrollen sind ebenfalls unerlässlich, um unbefugte OAuth-Gewährungen und verdächtige Befehlsausführungsaktivitäten zu erkennen.
Reaktion
Wenn verdächtige Befehlsausführungen erkannt werden, wie z.B. Win+R gefolgt von unerwarteter Terminalaktivität, sollten Antwortende den Endpunkt sofort isolieren. Bei Verdacht auf OAuth- oder Gerätecodenkompromittierung sollten Administratoren alle aktiven Sitzungen und Token für das betroffene Konto widerrufen und die kürzlich erfolgte Anwendungsgenehmigungsaktivität überprüfen. Prüfprotokolle sollten auch auf ungewöhnliche Microsoft Entra ID-Ereignisse und Anzeichen einer unbefugten RMM-Tool-Installation überprüft werden.
Angriffsfluss
Erkennungen
Verdächtiger ausführbarer Download (über Proxy)
Ansehen
Mögliche ClickFix Angriffs-Muster in der Kommandozeile (über cmdline)
Ansehen
ConsentFix Phishing Angriff auf Azure AD OAuth Autorisierungscode-Diebstahl [Azure Aktivitätsprotokolle]
Ansehen
Erkennung verdächtiger Aktivitäten basierend auf ClickFix Angriffstechniken [Windows Prozess-Erstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer verwendet ein gefälschtes „CAPTCHA“ oder „Browser-Update“-Eingabefenster, um den Benutzer zu täuschen. Das Eingabefenster weist den Benutzer an,
Win+Rzu drücken, dannStrg + Vzu drücken, dannEnter, um zu „überprüfen, dass sie menschlich sind.“ Der Benutzer fügt unwissentlich einen bösartigen Befehl ein, der eine Datei namensCAPTCHA_verification.txterstellt und dann einen Shell-Befehl ausführt, der die Befehlseingaben des Benutzers nachbildet. Diese Simulation erstellt eine Datei namens „CAPTCHA_file.txt“ und führt dann einen Befehl aus, der die „Strg+V“- und „Enter“-Zeichen enthält, um die RegelAuswahl1andAuswahl2Bedingungen zu erfüllen. -
Regressionstest-Skript:
# Simulation von ClickFix TTPs # 1. Erstellen Sie eine Datei mit 'CAPTCHA' im Namen, um Auswahl2 auszulösen (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. Ein Prozess mit 'Strg+V' und 'Enter' in der Befehlszeile ausführen, um Auswahl1 auszulösen (EventID 1) # Wir verwenden cmd.exe als Zielprozess. Start-Process cmd.exe -ArgumentList "/c echo Benutzer drückte Strg+V und Enter > $filePath" -
Bereinigung Befehle:
# Simulierte Artefakte bereinigen Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue