nslookupは、DNSサーバへ名前解決(ドメイン名とIPアドレスの相互の変換など)の問い合わせを行い、その結果を表示するコマンドラインツールです。
Windows/Linuxなど多くのOSで標準搭載され、ネットワークトラブル時のDNS設定調査や、ドメイン情報(Aレコード, MXレコード等)の取得に利用されます。
このコマンドがClickFixで悪用されているという情報が出てきました。
どんな流れでしょうか。
- コンテンツの準備
脅威アクターはClickFixの操作内容を記載したWebコンテンツを準備し公開します。 - サイトへの誘い込み
脅威アクターはなんらかの方法で、被害者をClickFixのコンテンツが表示された状態になるように誘い込みます。
コンテンツの示すストーリーは、偽の広告ブロッカーの誘いと欺瞞的なブラウザ拡張機能から始まり、ブラウザをクラッシュさせてユーザに「fix」コマンドを実行させるCrashFixの亜種といった内容となっています。
画面には修正するためには次のコマンドを実行してください、といった類の、いわゆるClickFixの内容が表示されています。 - DNS通信の悪用
「fix」コマンドはWindows機器上でcmdコマンドを実行する内容となっています。
cmdコマンドの引数ではnslookupコマンドを使うように記述されていて、示されたコマンドを実行するとDNSにqueryします。
この時点でコマンド内容を見てみると、単に特定のIPアドレスのAレコードを検索しているだけのような内容となっています。
しかし実際のその検索させられているIPアドレスのAレコードの内容として戻される文字列は、次の段階の攻撃に進むための内容となっています。
普通ならIPアドレスに対応するドメイン名が戻されるところなのですが、ここがまるごとpowershellを起動するコマンド文字列となっているのです。
このドメイン名が入っているはずだったところにあるpowershellを起動する文字列がそのまま続けて実行されます。 - マルウェアの展開
ここまでくるとあとは転がるように攻撃が展開されていきます。
起動されたpowershellコマンドにより、外部サイトからZIPファイルを取得します。
ZIPファイルを展開し、Pythonのスクリプトが取り出され実行されます。
実行されたPythonのスクリプトは、環境の偵察を行い、Pythonベースのリモートアクセス型トロイの木馬であるModeloRATを起動するVBScriptをドロップします。
startupフォルダにLNKファイルを置くスタイルで、設置されたRATは永続化されます。
ClickFixの亜種は次々に登場してきます。
ソフトウェアの脆弱性は時間の経過とともに対策されていくため特定のソフトウェアの特定の脆弱性を脅威アクターが継続的に利用し続けることは容易ではありません。
しかし、人間の弱い部分を悪用するこういったClickFixのような攻撃は、ソフトウェアの脆弱性を悪用しているものではないため、長く使えますし、セキュリティ対策ソフトウェアで対策することが簡単ではない領域の問題となっています。
いろいろと新しい内容が出てきますが、常に新しい情報を把握し、引っ掛からないようにしていきたいものです。
Microsoft Defender researchers observed attackers using yet another evasion approach to the ClickFix technique
https://x.com/MsftSecIntel/status/2022456612120629742
| この記事をシェア |
|
|---|
