Поза межами поля входу: техніка фішингу, до якої користувачі не готові
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Сучасний фішинг далеко вийшов за межі звичайного викрадення облікових даних і зараз включає такі розвинені техніки, як ClickFix, Browser-in-the-Browser, фішинг з використанням згоди OAuth, фішинг з використанням коду пристрою та фальшиві накладки для відеоконференцій. Такі підходи обходять традиційні навчальні програми через зловживання інструментами довіри системи, легітимними хмарними платформами та типовою поведінкою користувачів під час усунення несправностей. Замість того, щоб лише викрадати паролі, зловмисники все частіше прагнуть обійти багатофакторну аутентифікацію, переконуючи користувачів затверджувати шкідливі сеанси або виконувати команди за допомогою власного термінального утиліту.
Розслідування
Huntress спостерігав за цими змінюваними тактиками через свої керовані EDR та ITDR сервіси, виявляючи ширші зміни напрямку на зловживання браузерами та спрощення соціальної інженерії. Команда відзначила різке збільшення фішингу з використанням коду пристрою і вивчила, як атаки у стилі ClickFix експлуатують пам’ять користувача, щоб викликати виконання шкідливої команди. Дослідження також показують, як зловмисники використовують довіру, яку користувачі надають легітимним платформам, таким як Microsoft та Google, для отримання несанкціонованого доступу.
Пом’якшення
Організації повинні виходити за межи статичних програм підвищення обізнаності безпеки і впроваджувати інтерактивні симуляції, що відображають поточну фішингову стратегію. Користувачів слід навчити розпізнавати підозрілу поведінку браузера, зокрема, фальшиві вікна, які не можна перетягнути за межі рамки браузера, та уникати введення кодів авторизації пристрою, які вони не ініціювали самі. Сильні ITDR та EDR контролі також є важливими для виявлення несанкціонованих OAuth затверджень та підозрілої активності виконання команд.
Відповідь
Коли виявлено підозріле виконання команд, як, наприклад, Win+R у поєднанні з несподіваною термінальною активністю, реагуючі мають негайно ізолювати кінцеву точку. У випадках підозри на компрометацію OAuth або коду пристрою адміністратори повинні відкликати всі активні сесії та оновити токени для постраждалого облікового запису і переглянути останню діяльність з надання згоди для додатків. Журнали аудиту також слід перевірити на незвичайні події Microsoft Entra ID та на ознаки несанкціонованої установки RMM інструментів.
Потік атаки
Виявлення
Підозріле завантаження виконуваного файлу (через проксі)
Переглянути
Можливі патерни атаки ClickFix у командному рядку (через cmdline)
Переглянути
Атака фішингу ConsentFix, яка націлена на викрадення коду авторизації OAuth в Azure AD [журнали активності Azure]
Переглянути
Виявлення підозрілої активності на основі технік атаки ClickFix [створення процесів Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії має бути успішною.
Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив ПОВИННІ напряму відображати виявлені TTP і мати на меті генерування точної телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильного діагностування.
-
Опис атаки та команди: Супротивник використовує фальшиве повідомлення “CAPTCHA” або “Оновлення браузера”, щоб обманути користувача. Повідомлення інструктує користувача натиснути
Win+R, потімCtrl+V, потімEnter, щоб “перевірити, чи вони людина.” Користувач несвідомо вставляє шкідливу команду, яка створює файл з назвоюCAPTCHA_verification.txtа потім виконує оболонкову команду, що містить рядки інструкцій для імітації “вставленого” вводу користувача. Ця симуляція створить файл з назвою “CAPTCHA_file.txt”, а потім виконає команду, що містить рядки “Ctrl+V” та “Enter”, щоб задовольнитивибірка1andвибірка2умови. -
Скрипт тесту на регресію:
# Симуляція TTPs ClickFix # 1. Створіть файл з "CAPTCHA" у назві, щоб активувати вибірку2 (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. Виконайте процес з "Ctrl+V" та "Enter" у командному рядку, щоб активувати вибірку1 (EventID 1) # Використовуємо cmd.exe як цільовий процес. Start-Process cmd.exe -ArgumentList "/c echo User pressed Ctrl+V and Enter > $filePath" -
Команди очищення:
# Очистіть симульовані артефакти Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue