Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

ClickFix: распространённая методика первоначального доступа через манипуляцию поведением пользователей

3
3 мин
Технология ClickFix стала заметным инструментом у злоумышленников: она использует поведение пользователей для обхода средств защиты и работает на нескольких платформах. Отчет описывает методику заражения, её варианты и рекомендации по обнаружению — важную информацию для ИТ-специалистов, служб кибербезопасности и пользователей. «ClickFix использует поведение человека для обхода средств защиты и работы на нескольких платформах» Анализ методологии ClickFix начинается с телеметрии процессов. Типичная цепочка заражения выглядит так: Ключевой элемент — манипуляция пользователем: злоумышленники заставляют открыть проводник Windows или выполнить другие действия, побуждая пользователя неосознанно инициировать выполнение вредоносного кода. От базового ClickFix происходят несколько схожих вариантов, отличающихся способом убеждения пользователя и используемыми инструментами: Для эффективности всех описанных методов необходимы три условия: Вариации в основном различаются тем, как именно злоумышленн
Оглавление

Технология ClickFix стала заметным инструментом у злоумышленников: она использует поведение пользователей для обхода средств защиты и работает на нескольких платформах. Отчет описывает методику заражения, её варианты и рекомендации по обнаружению — важную информацию для ИТ-специалистов, служб кибербезопасности и пользователей.

«ClickFix использует поведение человека для обхода средств защиты и работы на нескольких платформах»

Как это работает: цепочка заражения

Анализ методологии ClickFix начинается с телеметрии процессов. Типичная цепочка заражения выглядит так:

  • Заражение обычно инициируется через explorer.exe, который через окно запуска Windows выполняет код;
  • От него порождается дочерний процесс conhost.exe, используемый в качестве прокси для запуска cmd.exe;
  • Далее запускается curl.exe для загрузки и исполнения дополнительной полезной нагрузки;
  • В качестве триггера выступает злоумышленно созданный веб-сайт, который перехватывает функциональность буфера обмена пользователя и иногда дополняется поддельными вставками Cloudflare для маскировки фишинга и повышения вовлеченности.

Ключевой элемент — манипуляция пользователем: злоумышленники заставляют открыть проводник Windows или выполнить другие действия, побуждая пользователя неосознанно инициировать выполнение вредоносного кода.

Варианты метода: FileFix и TerminalFix

От базового ClickFix происходят несколько схожих вариантов, отличающихся способом убеждения пользователя и используемыми инструментами:

  • FileFix — более простая схема: chrome.exe вызывает команду PowerShell, которая запрашивает файл через туннель Cloudflare и выполняет его немедленно;
  • TerminalFix — оптимизированная версия, работающая с одним процессом PowerShell, использующим ввод пользователя для выполнения команд; эта схема генерирует минимальную телеметрию, но возможны вариации в зависимости от конкретных команд злоумышленника.

Что нужно злоумышленнику для успеха

Для эффективности всех описанных методов необходимы три условия:

  • наличие вредоносного или скомпрометированного веб-сайта;
  • взаимодействие с пользователем, подтверждающее, что действие выполняет человек;
  • выполнение пользователем предоставленного кода или команд.

Вариации в основном различаются тем, как именно злоумышленники убеждают пользователя выполнить требуемые действия — через поддельные подсказки, подмену вставок буфера обмена, ложные уведомления и т. п.

Рекомендации по обнаружению и защите

Стратегии обнаружения должны фокусироваться на ранних этапах атаки и на сигнатурах поведения вредоносных полезных нагрузок. Практические меры включают:

  • Мониторинг процессов, запускаемых из explorer.exe и веб-браузеров (chrome.exe и т. п.), особенно неожиданных дочерних процессов (conhost.exe, cmd.exe, PowerShell, curl.exe).
  • Контроль исходящих сетевых подключений и проверка загрузок вторичных полезных нагрузок, размещённых удалённо (включая туннели через Cloudflare).
  • Обнаружение вызовов интерпретаторов сценариев, которые используются для выполнения загруженного кода (PowerShell, cmd-скрипты и пр.).
  • Повышение осведомлённости пользователей: обучение не выполнять команды по подозрительным подсказкам и сообщать в ИТ/безопасность при сомнениях.

Вывод

ClickFix и его варианты — пример того, как злоумышленники комбинируют социальную инженерию и технические механизмы для достижения первоначального доступа. Главная уязвимость здесь — человеческий фактор: подделка интерфейсов, перехват буфера обмена и провокация пользователей на запуск команд. Оборона должна сочетать технический мониторинг процессов и сетевой активности с регулярным обучением пользователей и оперативным реагированием ИТ-служб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ClickFix: распространённая методика первоначального доступа через манипуляцию поведением пользователей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются