ClickFix Saldırıları Artık Kalıcı: PySoxy Proxy ile Tehdit Sürekli Canlı Kalıyor Siber Güvenlik

ClickFix Saldırıları Artık Kalıcı: PySoxy Proxy ile Tehdit Sürekli Canlı Kalıyor

ClickFix saldırıları, PySoxy proxy ile birleşerek kötü amaçlı yazılım olmadan kalıcılık sağlıyor. ReliaQuest analizi, yeni nesil tehditleri ve savunma

Siber suçlular, ClickFix saldırılarını 10 yıllık açık kaynak Python SOCKS5 proxy aracı PySoxy ile birleştirerek kurban makinelerinde kötü amaçlı yazılım olmadan kalıcılık elde etmenin yeni bir yolunu keşfetti. Bu yöntem, temizleme girişimlerine rağmen erişimi canlı tutuyor. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan kampanya, ClickFix saldırılarının artık tek seferlik kullanıcı yürütmesinden modüler post-exploitation aşamasına geçtiğini ve bu durumun tehditleri tespit etmeyi ve kontrol altına almayı zorlaştırdığını gösteriyor.

ClickFix, kullanıcıları farkında olmadan kötü niyetli komutları çalıştırmaya veya zararlı yükleri indirmeye kandıran bir sosyal mühendislik taktiğidir. Son zamanlarda kötü amaçlı yazılım dağıtımı veya giriş bilgisi hırsızlığı için yaygın olarak kullanılmaktadır. ReliaQuest, 12 Mayıs tarihli blog yazısında inceledikleri ClickFix saldırısının, saldırganların ilk erişimini engellemenin mutlaka müdahaleyi durdurmadığına dikkat çekti. Bunun yerine, proxy aracı yerel bir kalıcılık mekanizmasına sahipti ve bu, etkinliğin zamanlanmış bir görev aracılığıyla yeniden başlatılmasına izin veriyordu.

Saldırganlar, PySoxy'yi dikkatli bir şekilde devreye soktu. İlk ClickFix ihlalinden hemen sonra başlatılmadı. Bunun yerine, saldırgan önce ortam hakkında bilgi toplamak, potansiyel takip hedeflerini belirlemek ve ana bilgisayarın saldırgan kontrollü hazırlık altyapısıyla iletişim kurabildiğini doğrulamak için zaman harcadı. Ancak bundan sonra PySoxy saldırının bir parçası olarak tanıtıldı. ReliaQuest kıdemli siber tehdit istihbarat analisti Ivan Righi, 'Bu sıralama önemlidir çünkü tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık gösterir' dedi.

Uzmanların Görüşleri

Proxy, saldırganlar tarafından işletilen kontrol sunucusuna başarıyla bağlantı kurduktan sonra nihai yük devreye girdi. Araştırmacılar, saldırganların bunu PowerShell ve Python betikleriyle denediğini, ayrıca doğrudan bir Uzaktan Erişim Truva Atı (RAT) bırakmaya çalıştıklarını gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması hala önemliydi çünkü tekrarlanan yürütme girişimlerine izin veriyordu. Righi, 'Müdahale ekipleri için bu, kalıcılık ve ikincil araçlar içeren ClickFix olaylarının aktif ihlal soruşturmaları olarak ele alınması gerektiği anlamına geliyor. Ana bilgisayar izolasyonu, tam eser incelemesi ve tüm erişim yollarının ve aşamalı bileşenlerin kaldırıldığının doğrulanması gerekir' diye ekledi.

Tespit edilmeyi atlatmış olabilecek benzer ClickFix saldırılarına karşı koymak için ReliaQuest, güvenlik ekiplerine zamanlanmış görevleri incelemelerini, Python eserlerini analiz etmelerini ve bir C2 bağlantısının engellenmesini kapsama olarak kabul etmek yerine proxy tarzı Python komut satırlarını avlamalarını önerdi. Ayrıca, bu ayın başlarında Avustralya Siber Güvenlik Merkezi (ACSC), altyapı sağlayıcıları ve diğer kuruluşları hedef alan yaygın bir ClickFix kampanyası konusunda uyarı yayınladı.

Bu yeni saldırı vektörü, siber güvenlik uzmanlarının ClickFix gibi sosyal mühendislik taktiklerine karşı daha bütünsel bir yaklaşım benimsemesi gerektiğini gösteriyor. Tek bir erişim noktasını engellemek yeterli değil; saldırganların kalıcılık mekanizmalarını ve post-exploitation araçlarını da dikkate alan kapsamlı bir savunma stratejisi şart. Kullanıcı eğitimi, uç nokta tespit ve yanıt sistemleri, düzenli güvenlik taramaları ve olay müdahale planlarının güncellenmesi, bu tür karmaşık tehditlere karşı hayati öneme sahip.

Kaynak: infosecurity-magazine.com

Paylaş: