Hakerzy omijają narzędzia bezpieczeństwa, atakując bezpośrednio użytkowników - Security Bez Tabu

Hakerzy omijają narzędzia bezpieczeństwa, atakując bezpośrednio użytkowników

Cybersecurity news

Wprowadzenie do problemu / definicja

Współczesne cyberataki coraz częściej nie opierają się na klasycznym przełamywaniu zabezpieczeń technicznych stacji roboczych. Zamiast tego napastnicy obchodzą mechanizmy ochronne, wykorzystując legalne procesy systemowe, interakcje użytkownika oraz zaufane ścieżki logowania i autoryzacji. Tego typu podejście pozwala ominąć część tradycyjnych warstw obrony, takich jak EDR, MFA czy klasyczne filtry antymalware, bez konieczności wdrażania zaawansowanego exploita na urządzeniu końcowym.

W skrócie

Eksperci bezpieczeństwa zwracają uwagę na rosnącą popularność technik, które przenoszą ciężar ataku z systemu na człowieka. Do najczęściej wskazywanych metod należą ClickFix, FileFix i ConsentFix. Ich wspólnym celem jest skłonienie ofiary do wykonania pozornie uzasadnionej czynności, takiej jak uruchomienie polecenia, zaakceptowanie monitu lub dokończenie procesu autoryzacji w wiarygodnie wyglądającym oknie logowania.

  • atakujący wykorzystują użytkownika jako kanał wykonawczy,
  • legalne narzędzia i procesy zastępują klasyczny malware,
  • detekcja incydentu staje się trudniejsza, bo aktywność przypomina normalne działania administracyjne.

Kontekst / historia

Przez lata organizacje wzmacniały bezpieczeństwo końcówek i tożsamości cyfrowych poprzez wdrażanie rozwiązań endpoint security, systemów EDR oraz wieloskładnikowego uwierzytelniania. Rozwój ochrony behawioralnej i coraz skuteczniejsze mechanizmy wykrywania nadużyć sprawiły jednak, że przestępcy zaczęli szukać prostszych i tańszych sposobów obejścia ochrony.

W efekcie krajobraz zagrożeń przesunął się w kierunku nadużywania legalnych narzędzi administracyjnych, technik living-off-the-land oraz scenariuszy socjotechnicznych, w których to użytkownik sam inicjuje kluczowe działanie. To naturalna ewolucja metod ataku: skoro obejście zabezpieczeń technicznych jest coraz trudniejsze, bardziej opłacalnym celem staje się człowiek oraz zaufany workflow biznesowy.

Analiza techniczna

Techniki takie jak ClickFix, FileFix i ConsentFix wpisują się w model pośredniego wykonania. Napastnik nie musi dostarczać typowego złośliwego pliku ani wyłączać ochrony na urządzeniu. Wystarczy przygotować scenariusz, w którym użytkownik sam uruchomi działanie uznane przez system za legalne lub mniej podejrzane.

W praktyce atak może rozpocząć się od komunikatu sugerującego potrzebę naprawy błędu w aplikacji, potwierdzenia ustawień bezpieczeństwa albo dokończenia procesu logowania. Użytkownik zostaje następnie poprowadzony przez zestaw instrukcji, które wydają się uzasadnione z perspektywy codziennej pracy. To może obejmować uruchomienie polecenia w terminalu, akceptację zmanipulowanego monitu zgody albo zatwierdzenie procesu autoryzacji, który w rzeczywistości służy przejęciu sesji lub tokenu.

  • wykorzystywane są legalne komponenty systemowe,
  • zachowanie procesu może przypominać zwykłą aktywność administracyjną,
  • reguły sygnaturowe mają ograniczoną skuteczność bez klasycznego droppera,
  • MFA nie zawsze wystarcza, jeśli użytkownik sam zatwierdzi fałszywe żądanie,
  • narzędzia endpoint security mogą nie zablokować działań mieszczących się w granicach dopuszczalnego użycia systemu.

Z technicznego punktu widzenia kluczowe jest to, że atak nie musi wyłączyć zabezpieczeń. Wystarczy ominąć ich model detekcji poprzez wykorzystanie zaufania do użytkownika, aplikacji lub procesu biznesowego.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego typu kampanii jest spadek realnej skuteczności istniejących inwestycji w bezpieczeństwo. Organizacja może posiadać nowoczesny EDR, MFA i polityki dostępu warunkowego, a mimo to zostać skutecznie skompromitowana, jeśli pracownik zostanie przekonany do wykonania pozornie dozwolonej operacji.

Ryzyko obejmuje nie tylko przejęcie kont użytkowników, lecz także dostęp do aktywnych sesji, obejście mechanizmów MFA, uruchomienie poleceń prowadzących do pobrania kolejnych komponentów ataku oraz późniejszą eskalację uprawnień w środowisku organizacji. Dodatkowym problemem jest utrudniona detekcja incydentu, ponieważ część działań wygląda jak zwykła aktywność użytkownika lub administratora.

Dla zespołów SOC i IR oznacza to konieczność analizy rozproszonych śladów obecnych w logach tożsamościowych, telemetrii endpointów, historii przeglądarki, danych z proxy oraz aktywności usług chmurowych. Obrona jest trudniejsza również dlatego, że blokowanie legalnych funkcji systemowych może negatywnie wpływać na działalność operacyjną firmy.

Rekomendacje

Organizacje powinny zakładać, że sama obecność narzędzi ochronnych nie gwarantuje zatrzymania ataku, jeśli przeciwnik potrafi wykorzystać użytkownika do legalnego wykonania niebezpiecznej operacji. Skuteczna strategia obrony wymaga połączenia ochrony endpointów, bezpieczeństwa tożsamości i dojrzałej edukacji pracowników.

  • ograniczyć możliwość uruchamiania skryptów i interpreterów przez użytkowników, którzy nie potrzebują ich do pracy,
  • wdrożyć kontrolę aplikacji oraz allowlisting na krytycznych stacjach roboczych,
  • monitorować nietypowe uruchomienia narzędzi systemowych, powłok i poleceń,
  • korelować zdarzenia tożsamościowe, sesyjne i endpointowe,
  • stosować metody uwierzytelniania odporne na phishing i przejęcie sesji,
  • szkolić użytkowników z rozpoznawania fałszywych instrukcji naprawczych oraz zmanipulowanych monitów zgody,
  • aktualizować playbooki SOC o scenariusze nadużywania legalnych procesów i socjotechniki,
  • egzekwować zasadę najmniejszych uprawnień oraz segmentację dostępu.

Coraz ważniejsze staje się także modelowanie zagrożeń z perspektywy tożsamości, a nie wyłącznie złośliwego oprogramowania. W wielu przypadkach incydent zaczyna się dziś od manipulacji decyzją użytkownika, a nie od dostarczenia pliku malware.

Podsumowanie

Rosnąca popularność technik takich jak ClickFix, FileFix i ConsentFix pokazuje, że cyberprzestępcy coraz skuteczniej omijają tradycyjny model ochrony endpointów i MFA, atakując bezpośrednio warstwę interakcji użytkownika. To istotna zmiana operacyjna: celem nie jest już wyłącznie infekcja urządzenia, lecz przejęcie zaufanego procesu, sesji lub autoryzacji. Dla firm oznacza to potrzebę łączenia technologii ochronnych z analizą behawioralną, bezpieczeństwem tożsamości i praktycznym szkoleniem użytkowników.

Źródła

  1. Hackers Bypass Security Tools to Target Users Directly — https://www.infosecurity-magazine.com/news/hackers-bypass-security-tools/
  2. Infosecurity Magazine – End Point Security News and Articles — https://www.infosecurity-magazine.com/end-point-security/
  3. Ransomware attackers increasingly exploit legitimate IT tools, bypassing antivirus — https://www.scworld.com/brief/ransomware-attackers-exploit-legitimate-it-tools-bypassing-antivirus
  4. ‘EDR-on-EDR Violence’: Hackers turn security tools against each other — https://www.csoonline.com/article/4032009/edr-on-edr-violence-hackers-turn-security-tools-against-each-other.html