FileFixはClickFixソーシャルエンジニアリング攻撃の亜種です。
このFileFix攻撃のある事例のなかで、いやな攻撃手法が観測されています。
- 始まりはFileFix
攻撃手順はFileFixから始まります。- Webサイトの閲覧
脅威アクターの用意したWebサイトを閲覧すると、そこにFortinetのVPNコンプライアンスチェッカーを装ったダイアログが表示されます。 - エクスプローラーを開く
ダイアログにはもっともらしくチェックの実施手順が示され、これから行われることを説明しているように見えます。
説明の文面には何ら怪しい部分が見あたらないと思ったユーザは画面にあるファイルエクスプローラーを開くボタンをクリックします。 - 張り付けてエンターキー入力
そして画面の指示に従ってクリップボードの内容をエクスプローラーに張り付けてエンターキーを入力します。 - FileFix攻撃が完了
ここですでにFileFix攻撃が成立しています。
どこに問題があったのでしょうか。
実はエクスプローラーを開くボタンをクリックした際にご丁寧にWebサイトの機構がクリップボードに文字列をコピーしてくれているのですが、そのコピーされた内容が画面に示されている内容とは異なるのです。
画面に表示されている部分を先頭とした長い文字列がコピーされていて、先頭の部分はコメントとして機能するように仕立てられています。
そしてそのあと長い空白文字の羅列が続き、その後ろに攻撃ロジックが記載された内容となっているのです。
このため、そのクリップボードの内容をエクスプローラーの入力エリアに張り付けたとしても、その長い空白文字の後ろの部分は、どんなに大きな画面を持つPCでも画面範囲内には表示されないのです。
実行が開始された攻撃機構は、ローカルに配置済みのzipファイルから攻撃コードを取り出し、攻撃行為を開始します。
では、この悪意ある内容を含むzipファイルはどうやって持ち込まれたのでしょうか。
- Webサイトの閲覧
- Cache smuggling
このFileFix攻撃で使用されているzipファイルを持ち込んだ手法がCache smugglingです。- 画像ファイルを取得(これがCache smuggling)
ユーザは攻撃の開始段階で脅威アクターの用意したWebサイトを閲覧しています。
このときにWebサイトはブラウザに画像ファイルを取得するよう指示するJavaScriptを実行しました。
実際にはこのファイルは画像ファイルではないのですが、ファイルの取得時のMIMEタイプがimage/jpegとされているためWebブラウザはこのファイルを画像として扱いました。
ブラウザに画像として扱われたファイルは今後そのWebサイトで使われる際に再利用ができるようにキャッシュ用のPATHにコピーされて効率化が図られます。
FileFix攻撃の機構はこの画像と偽ってローカル設置されたファイルを使って攻撃を成り立たせるのです。
- 画像ファイルを取得(これがCache smuggling)
この事例では脅威アクターは意図した攻撃を成立させることができています。
しかしその活動としては、攻撃のペイロード部分の持ち込みはタイミングも動作としても普通にWebブラウザが画像を取得したようにしか見えないような形式で実施しているのです。
この脅威の全体を考える場合、検出は容易ではなさそうです。
FileFix攻撃の機構そのものはなんら外部からファイルを入手している動作となっていないのです。
Webブラウザの画像キャッシュ機構は効率化の観点からは必須機能です。
こんな動作までも悪用の対象となってしまっています。
いくら注意してもしすぎることはないという感じがします。
Cache smuggling: When a picture isn’t a thousand words
https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/
| この記事をシェア |
|
|---|
