FileFix: Yeni bir ClickFix varyasyonu

Kötü niyetli kişiler, “FileFix” adlı ClickFix tekniğinin yeni bir varyasyonunu kullanmaya başladı. Bu yazımızda bunun nasıl çalıştığını ve şirketinizi nasıl koruyabileceğinizi açıklıyoruz.

FileFix nedir? ClickFix'in bir varyasyonu mudur?

Kısa bir süre önce ClickFix tekniğini ele aldık. Şimdi, kötü niyetli aktörler, araştırmacılar tarafından “FileFix” olarak adlandırılan yeni bir varyantını kullanmaya başladılar. Temel ilke aynı kalıyor: Sosyal mühendislik taktikleri kullanarak kurbanı, kendi cihazında farkında olmadan kötü amaçlı kod çalıştırmaya ikna etmek. ClickFix ile FileFix arasındaki fark, esasen komutun nerede yürütüldüğüdür.

ClickFix ile saldırganlar, kurbanı Windows Çalıştır iletişim kutusunu açmaya ve içine kötü amaçlı bir komut yapıştırmaya ikna ederlerken FileFix ile, kurbanı Windows Dosya Gezgini adres çubuğuna bir komut yapıştırmaya yönlendirirler. Kullanıcı açısından bakıldığında, bu eylem olağandışı görünmez çünkü Dosya Gezgini penceresi tanıdık bir öğe olduğundan, kullanımı tehlikeli olarak algılanma olasılığı daha düşüktür. Sonuç olarak, bu özel taktiğe aşina olmayan kullanıcıların, FileFix tuzağına düşme olasılıkları çok daha yüksektir.

Saldırganlar kurbanı manipüle ederek nasıl kendi kodlarını çalıştırmalarını sağlarlar?

ClickFix’e benzer şekilde FileFix saldırısı da, bir kullanıcı, genellikle kimlik avı e-postası yoluyla, bazı yasal çevrimiçi hizmetlerin web sitesini taklit eden bir sayfaya yönlendirildiğinde başlar. Sahte site, hizmetin normal işlevlerine erişimi engelleyen bir hata mesajı görüntüler. Sorunu çözmek için, kullanıcıya “ortam kontrolü” veya “tanı” işlemi için bir dizi adımı gerçekleştirmesi gerektiği söylenir.

Bunu yapmak için, kullanıcıya saldırganların söylediğine göre kurbanın bilgisayarında zaten bulunan veya yeni indirilmiş olan belirli bir dosyayı çalıştırması gerektiği söylenir. Kullanıcının yapması gereken tek şey, yerel dosyanın yolunu kopyalayıp Windows Dosya Gezgini adres çubuğuna yapıştırmaktır. Gerçekten de kullanıcının dizgiyi kopyalaması istenen alan, dosyanın yolunu gösterir, bu nedenle saldırı “FileFix” olarak adlandırılmıştır. Kullanıcıya daha sonra Dosya Gezgini’ni açması, [CTRL] + [L] tuşlarına basarak adres çubuğuna odaklanması, [CTRL] + [V] tuşlarıyla “dosya yolunu” yapıştırması ve [ENTER] tuşuna basması talimatı verilir.

İşte püf noktası: Görünür dosya yolu, çok daha uzun bir komutun sadece son birkaç düzine karakterinden ibarettir. Dosya yolunun önünde bir dizi boşluk bulunur ve bunun önünde saldırganların yürütmeyi amaçladıkları gerçek kötü amaçlı yük bulunur. Bu boşluklar, kullanıcı komutu yapıştırdıktan sonra şüpheli bir şey görmemesi adına, çok önemlidir. Tam dize, adres çubuğunun görünür alanından önemli ölçüde daha uzun olduğu için, yalnızca zararsız dosya yolu görünür kalır. Gerçek içerik, bilgiler Dosya Gezgini penceresi yerine bir metin dosyasına yapıştırıldığında ortaya çıkar. Örneğin, Expel’in araştırmasına dayanan Bipleyen Bilgisayar makalesinde, gerçek komutun conhost.exe aracılığıyla bir PowerShell komut dosyasını başlattığı tespit edildi.

Gizli kötü amaçlı komut örneği

Kullanıcı bir dosya yolunu yapıştırdığını sanıyor, ancak komut aslında bir PowerShell komut dosyası içeriyor. Kaynak

Kötü amaçlı komut dosyası çalıştırıldıktan sonra ne olur?

Gerçek bir kullanıcı tarafından yürütülen bir PowerShell komut dosyası, birçok şekilde sorunlara neden olabilir. Her şey kurumsal güvenlik ilkelerine, belirli kullanıcının ayrıcalıklarına ve kurbanın bilgisayarında güvenlik çözümlerinin bulunup bulunmamasına bağlıdır. Daha önce bahsedilen durumda, saldırı “önbellek kaçakçılığı” adlı bir teknik kullanmıştır. FileFix hilesi uygulayan aynı sahte web sitesi, tarayıcının önbelleğine JPEG formatında bir dosya kaydetti, ancak dosya aslında kötü amaçlı yazılım içeren bir arşiv içeriyordu. Kötü amaçlı komut dosyası daha sonra bu kötü amaçlı yazılımı çıkardı ve kurbanın bilgisayarında çalıştırdı. Bu yöntem, son kötü amaçlı yükün açık dosya indirmeleri veya şüpheli ağ istekleri olmadan bilgisayara teslim edilmesini sağlar, bu da onu özellikle gizli hale getirir.

ClickFix ve FileFix saldırılarına karşı şirketinizi nasıl koruyabilirsiniz?

ClickFix saldırı tekniği hakkındaki yazımızda, en basit savunma yönteminin iş cihazlarında [Win] + [R] tuş kombinasyonunu engellemek olduğunu önermiştik. Tipik bir ofis çalışanının Gerçekten Çalıştır iletişim kutusunu açması gereken durumlar son derece nadirdir. FileFix durumunda ise durum biraz daha karmaşıktır; adres çubuğuna bir komut kopyalamak tamamen normal bir kullanıcı davranışıdır.

[CTRL] + [L] kısayolunu engellemek genellikle iki nedenden dolayı istenmez. İlk olarak, bu kombinasyon çeşitli yasal amaçlar için farklı uygulamalarda sıklıkla kullanılmaktadır. İkincisi, kullanıcılar fareyle tıklayarak Dosya Gezgini adres çubuğuna erişmeye devam edebilecekleri için bu çözüm tam olarak yardımcı olmayacaktır. Saldırganlar, klavye kısayolu başarısız olursa kullanıcılara genellikle ayrıntılar sağlar.

Bu nedenle, ClickFix, FileFix ve benzeri saldırılara karşı gerçekten etkili bir savunma için, öncelikle tüm çalışanların iş cihazlarına, tehlikeli kodları zamanında algılayıp engelleyebilen etkili bir güvenlik çözümü kurmanızı öneririz.

İkinci olarak, çalışanların modern siber tehditler, özellikle ClickFix ve FileFix senaryolarında kullanılan sosyal mühendislik yöntemleri hakkında düzenli olarak bilgilendirilmesini tavsiye ederiz. Kaspersky Automated Security Awareness Platform, çalışanların eğitimini otomatikleştirmeye yardımcı olabilir.

İpuçları
  • Diğer tüm ülkeler için