ClickFix hujumining yangi turi: nslookup orqali yashirin zararli hujumlar

Kiberxavfsizlik sohasida hujumchilar doim yangi va murakkab usullarni ishlab chiqmoqda. So‘nggi tahlillarga ko‘ra, ClickFix nomi bilan mashhur ijtimoiy muhandislik hujumlari yangi bosqichga o‘tdi. Endilikda hujumchilar oddiy Windows vositasi orqali zararli kodni yashirin tarzda tarqatmoqda.

Avvallari ClickFix hujumlari foydalanuvchini aldashga asoslangan edi. Masalan, soxta xatolik oynasi yoki ogohlantirish chiqarilib, foydalanuvchidan muayyan buyruqni kiritish so‘ralardi. Foydalanuvchi buni muammoni hal qilish deb o‘ylaydi, aslida esa zararli kodni o‘zi ishga tushiradi.

Yangi usul nimasi bilan farq qiladi?

Yangi variantda hujumchilar PowerShell kabi tez aniqlanadigan vositalardan voz kechib, Windows tizimida mavjud bo‘lgan oddiy utilitalardan foydalanmoqda. Eng ko‘p qo‘llanilayotgan vosita — nslookup.exe.

Bu utilita odatda DNS muammolarini tekshirish uchun ishlatiladi va tizimda ishonchli dastur hisoblanadi. Shu sababli ko‘plab xavfsizlik tizimlari uni shubhali deb baholamaydi.

nslookup.exe — oddiy vositadan yashirin qurolga

Yangi hujum ssenariysining markazida nslookup.exe utilitasi turibdi. Bu Windows tizimida keng qo‘llaniladigan buyruq qatori vositasi bo‘lib, odatda DNS muammolarini diagnostika qilish uchun ishlatiladi. Aynan shu sababli u ko‘plab xavfsizlik tizimlari tomonidan shubhali faoliyat sifatida baholanmaydi.

Hujumchilar ushbu utilitadan foydalanib, o‘zlariga tegishli DNS serverlarga so‘rov yuboradi. Server esa oddiy javob qaytarmaydi — uning tarkibida maxsus kodlangan zararli ma’lumot bo‘ladi. Eng xavfli jihati shundaki, bu ma’lumot an’anaviy TXT yozuvlarida emas, balki DNS javobining “Name” maydonida yashiriladi.

Natijada, zararli ma’lumot tizimga sezilmas tarzda yetib keladi, keyin esa dekodlanib ishga tushiriladi. Bu jarayon deyarli hech qanday signal bermasdan infektsiya zanjirini yakunlaydi.

Nima uchun bu usul xavfli?

Ushbu texnika bir nechta sababga ko‘ra ayniqsa xavflidir:

Birinchidan, nslookup.exe ishonchli tizim fayli hisoblanadi. U tizim administratorlari tomonidan tez-tez ishlatiladi, shu sababli uning faoliyati ko‘pincha normal deb qabul qilinadi.

Ikkinchidan, ko‘plab xavfsizlik yechimlari DNS orqali uzatiladigan zararli ma’lumotlarni aniqlashda asosan TXT yozuvlarga e’tibor qaratadi. “Name” maydonidan foydalanish esa monitoring tizimlarini chetlab o‘tishga yordam beradi.

Uchinchidan, an’anaviy ClickFix hujumlariga qarshi ishlab chiqilgan himoya qoidalari odatda PowerShell faoliyatiga yo‘naltirilgan bo‘ladi. DNS asosidagi bu yangi variant esa bunday qoidalarni butunlay chetlab o‘tishi mumkin.

Aniqlash va himoya choralar

Mazkur texnika aniqlanishi qiyin bo‘lsa-da, imkonsiz emas. Tadqiqotchilar ushbu hujumlarni aniqlash uchun maxsus hunting qoidalarini ishlab chiqmoqda. Masalan, nslookup.exe faoliyatini chuqurroq tahlil qilish, noodatiy DNS so‘rovlarini kuzatish va yangi domenlarga qaratilgan trafikni monitoring qilish samarali bo‘lishi mumkin.

Tashkilotlar quyidagi choralarni ko‘rishi tavsiya etiladi:

  • DNS trafikni chuqur monitoring qilish
  • Tizim utilitalarining noodatiy ishlatilishini tahlil qilish
  • Behavioral (xulq-atvor asosidagi) aniqlash mexanizmlarini joriy etish
  • Yangi ro‘yxatdan o‘tgan domenlarga so‘rovlarni nazorat qilish
  • Xodimlar o‘rtasida ijtimoiy muhandislikka qarshi treninglar o‘tkazish

Shuningdek, himoya strategiyalarini faqat skript asosidagi hujumlarga emas, balki “living-off-the-land” deb ataluvchi usullarga ham kengaytirish muhim. Bu usulda hujumchilar mavjud tizim vositalaridan foydalanib, zararli faoliyatni yashiradi.

Kiberxavfsizlik uchun yangi signal

ClickFix kampaniyasining nslookup orqali amalga oshirilayotgan yangi varianti kiberxavfsizlik sohasidagi muhim o‘zgarishni ko‘rsatadi. Hujumchilar tobora ko‘proq shovqinsiz, yashirin va aniqlash qiyin bo‘lgan usullarga o‘tmoqda. Bu esa an’anaviy himoya mexanizmlarini qayta ko‘rib chiqishni talab qiladi.

Bugungi kunda xavfsizlik jamoalari faqat zararli dasturlarni emas, balki qonuniy vositalardan noto‘g‘ri foydalanish holatlarini ham aniqlashga e’tibor qaratishi zarur. Chunki zamonaviy hujumlarning asosiy quroli — murakkab zararli kod emas, balki oddiy vositalarning noodatiy qo‘llanilishidir.

nslookup.exe orqali amalga oshirilayotgan ClickFix hujumlari kiberjinoyatchilarning yangi strategiyasini namoyon etadi: minimal iz qoldirgan holda maksimal natijaga erishish. Ushbu tendensiya yaqin kelajakda shunga o‘xshash hujumlar soni ortishini anglatadi.

Shu sababli tashkilotlar o‘z himoya yondashuvlarini yangilashi, monitoringni chuqurlashtirishi va foydalanuvchilarni ogohlikka chaqirishi lozim. Zero, zamonaviy kiberxavfsizlikda eng katta tahdid — ko‘zga ko‘rinmaydigan hujumlardir.