いろいろな攻撃手法が生み出されてきています。
Webサイトを閲覧しただけで感染した、とかそういう手口です。
こういったものに対して、いろいろなセキュリティ対策が講じられてきています。
すこし変わった方向での攻撃手法が、いくつか確認されています。
- ClearFake
これは、攻撃キャンペーンの名称です。
ClearFakeは、悪意あるHTMLとJavaScriptを正規のWebサイトに設置して侵害するタイプの、偽のブラウザ更新を促す攻撃です。
大まかに言いますと、攻撃は次のように進みます。
ユーザが侵害されたWebサイトを訪問する、環境チェックするスクリプトがロードされ攻撃が成り立たなくなるかを検査される、偽の警告ダイアログが表示される、ということから始まります。
偽の警告に従ってユーザが操作すると、マルウェアに感染します。
偽の警告ダイアログはユーザにPowerShellターミナルを自分で起動させ、そこにコピーさせた攻撃コードを張り付けて実行させます。
ユーザは張り付けたコードが攻撃コードだとは思っていないので実行してしまう、ということです。 - ClickFix
こちらも、攻撃キャンペーンの名称です。
ClickFixも、このサイトを表示するためにはブラウザを更新しなければなりません、というような内容の偽のブラウザ更新を促します。
こちらも、ClearFakeと同じような流れです。
ユーザが侵害されたWebサイトを訪問する、偽の警告ダイアログが表示される、と進みます。
そして、そのダイアログにはWebサイトが正しく表示できないのでブラウザを更新する必要がある、と表示されています。
ユーザにコードをコピーさせ、ユーザに管理者モードのPowerShellのウインドウを起動させ、コードを張り付けて実行させます。
ここでコピーしたり張り付けて実行しているコードは、攻撃コードです。
いろいろなセキュリティ製品がマルウェアによる攻撃を防御できる機構を提供します。
通常起こりえないような、なにかのソフトウェアが管理コマンドを勝手に実行するような動作を検出するような内容になっています。
通常のマルウェアの場合、こういった手法が対策となると考えられます。
しかし、ここであげたいくつかの例はどうでしょうか。
いずれもソフトウェアはなんら攻撃コードを実行していません。
PowerShellのウインドウを起動したのは、利用者自身です。
そこにコードを張り付けたのも利用者ですし、張り付けた後にエンターキーを入力してコードを実行したのも利用者です。
実行の操作の中でUACダイアログなどで実行することを確認されるようなことがあるかもしれませんが、ユーザ自身の手で、それらは合意して実行するように操作されてしまうことでしょう。
こういった攻撃が前提としているのはどういったことでしょう。
それは、システム上でPowerShellコマンドを実行するリスクの認識不足です。
もちろん、コピーさせられて張り付けさせられているコードは難読化などが実施されているでしょうし、一見して、それが攻撃コードとわかるようになっているとは思えません。
しかし、です。
そもそも通常のシステム利用において、このような操作が必要となる場面は通常ないのです。
これは容易に類似の攻撃を作り出すことのできる方式です。
このような手法があるのだということを知って注意することが必要です。
自分自身で自分を感染させてしまうということは避けましょう。
From Clipboard to Compromise: A PowerShell Self-Pwn
https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn
| この記事をシェア |
|
|---|
