北京
研究人員發(fā)現(xiàn),ClickFix攻擊出現(xiàn)新變體:攻擊者通過全屏瀏覽器頁面展示高度逼真的Windows更新動畫誘騙用戶,并將惡意代碼隱藏在圖像文件內(nèi)。
ClickFix本質(zhì)是一種社會工程學(xué)攻擊,其核心手法是誘使用戶在Windows命令提示符中粘貼并執(zhí)行特定代碼或指令,最終導(dǎo)致惡意軟件在目標(biāo)系統(tǒng)中運行。
由于攻擊成功率極高,ClickFix已被各層級網(wǎng)絡(luò)犯罪分子廣泛采用,且不斷迭代進化,所用誘騙手段的技術(shù)復(fù)雜度與迷惑性也日益提升。
全屏瀏覽器頁面的誘騙邏輯
自10月1日起,研究人員觀察到ClickFix攻擊的兩種主要誘騙借口:一是謊稱“需完成關(guān)鍵Windows安全更新的安裝”,二是更常見的“人機驗證”。
虛假更新頁面會引導(dǎo)受害者按特定順序按下快捷鍵,而這些操作會自動粘貼并執(zhí)行攻擊者預(yù)設(shè)的指令——此前攻擊者已通過頁面中運行的JavaScript代碼,將惡意指令復(fù)制到用戶系統(tǒng)剪貼板。
假的Windows安全更新屏幕
托管安全服務(wù)提供商Huntress發(fā)布的報告指出,這些ClickFix新變體最終會釋放LummaC2與Rhadamanthys兩款信息竊取惡意軟件。
具體來看,其中一種攻擊變體使用“人機驗證”頁面作為誘餌,另一種則依托仿冒的Windows更新界面;但無論采用哪種方式,攻擊者均通過隱寫術(shù)將最終的惡意軟件載荷編碼隱藏在圖像文件中。
攻擊者并非簡單地將惡意數(shù)據(jù)附加到文件中,而是將惡意代碼直接編碼到PNG圖像的像素數(shù)據(jù)內(nèi),借助特定顏色通道在內(nèi)存中重構(gòu)并解密惡意載荷。
惡意載荷的投遞與執(zhí)行流程
惡意載荷的投遞始于調(diào)用Windows原生二進制文件mshta.exe,通過該程序執(zhí)行惡意JavaScript代碼。
整個攻擊過程分為多個階段,涉及PowerShell代碼與一個.NET程序集(即“隱寫加載器”Stego Loader)——后者負(fù)責(zé)將加密狀態(tài)下隱藏在PNG文件中的最終惡意載荷重構(gòu)出來。
在Stego Loader的清單資源中,存在一個AES加密的數(shù)據(jù)塊,該數(shù)據(jù)塊本質(zhì)是一個隱寫PNG文件,其中包含的shellcode(外殼代碼)需通過自定義C。
研究人員還發(fā)現(xiàn),攻擊者采用了一種名為“ctrampoline”的動態(tài)規(guī)避技術(shù):入口點函數(shù)會調(diào)用10000個空函數(shù),以此干擾安全檢測。
Trampoline調(diào)用鏈
隱藏信息竊取惡意軟件的shellcode從加密圖像中提取后,會通過Donut工具進行加殼處理——該工具支持在內(nèi)存中直接執(zhí)行VBScript、JScript、EXE、DLL文件及.NET程序集,進一步提升攻擊隱蔽性。
脫殼完成后,Huntress研究人員成功提取出惡意軟件,在此次分析的攻擊案例中,涉及的正是LummaC2與Rhadamanthys。
下圖直觀展示了整個攻擊流程的技術(shù)細(xì)節(jié):
攻擊概述
攻擊溯源與安全干預(yù)
早在10月,研究人員就已發(fā)現(xiàn)采用“Windows更新”誘餌的Rhadamanthys攻擊變體;隨后在11月13日,Operation Endgame執(zhí)法行動摧毀了該惡意軟件的部分基礎(chǔ)設(shè)施。
Huntress報告指出,此次執(zhí)法行動的直接成效是:盡管仿冒Windows更新的惡意域名仍處于活躍狀態(tài),但已無法再投遞惡意載荷。
為防范此類ClickFix攻擊,研究人員建議采取兩項核心防護措施:一是禁用Windows“運行”對話框;二是監(jiān)控可疑進程鏈,例如“explorer.exe衍生出mshta.exe”或“explorer.exe衍生出PowerShell”的異常進程關(guān)系。
此外,在調(diào)查網(wǎng)絡(luò)安全事件時,分析人員可檢查“RunMRU”注冊表項——該注冊表項會記錄用戶在Windows“運行”對話框中輸入過的指令,可為攻擊溯源提供關(guān)鍵線索。
參考及來源:https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
