Mastodawn

Security Week 2609: новые варианты атак ClickFix

На прошлой неделе опубликовано сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда Microsoft Threat Intelligence поделилась чуть более сложным, чем обычно, вариантом атаки, продемонстрированном на скриншоте ниже. Как правило, команда, которую злоумышленники заставляют запустить, содержит адрес, с которого загружается и выполняется вредоносный скрипт. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, в этот простой сценарий вставлен еще один шаг: обращение к контролируемому DNS-серверу. От имени пользователя происходит обращение к DNS-серверу c использованием утилиты nslookup, запрашиваются данные для домена example.com. Из полученных в ответ данных выделяется строка NAME:, которая и содержит вторую часть вредоносного скрипта. Он, в свою очередь, напрямую скачивает ZIP-архив с набором вредоносных программ. На финальной стадии один из VBS-скриптов прописывается в автозапуск и на компьютер жертвы устанавливается троянская программа ModeloRAT. Это далеко не самый изощренный вариант атаки ClickFix. Ранее та же Microsoft сообщала о нетривиальной тактике, предусматривающей намеренное выведение из строя браузера путем установки вредоносного расширения под видом адблокера.

https://habr.com/ru/companies/kaspersky/articles/1002934/

#иб #clickfix #nslookup

Security Week 2609: новые варианты атак ClickFix

На прошлой неделе вышло сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда...

Хабр

The New Oil Feb 16

New #ClickFix attack abuses #nslookup to retrieve #PowerShell payload via #DNS

https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/

#cybersecurity

New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS

Threat actors are now abusing DNS queries as part of ClickFix social engineering attacks to deliver malware, making this the first known use of DNS as a channel in these campaigns.

BleepingComputer

Jordan Jan 29

I just realized that if you just hit Enter during an interactive nslookup session in Linux, it'll exit. I've always forgotten whether it's 'quit' or 'exit' and end up getting it wrong half the time, all the while this little keyboard efficiency gem has been lurking.

#linux #nslookup #dns #ocdaboutefficiency

Show thread

JdeBP Jul 7, 2025

@pmevzek @Edent @rmbolger

nslookup isn't deprecated on Windows, which is what we're talking about here.

https://learn.microsoft.com/en-gb/windows-server/administration/windows-commands/nslookup

Good luck finding a dig for Windows. I'm still pointing people to William Stacey's netdig, I notice. I should probably fix that, since it vanished over a decade ago, which is a shame.

https://jdebp.uk/FGA/dns-diagnosis-tools.html

#nslookup #DNS #MicrosoftWindows

nslookup

Reference article for the nslookup command, which displays information that you can use to diagnose Domain Name System (DNS) infrastructure.

Show thread

JdeBP Jul 6, 2025

@Edent

It is a shame that neither

> Resolve-DnsName -Name where-is-the-iss.dedyn.io -Type LOC

nor

> nslookup -type=loc where-is-the-iss.dedyn.io

work.

Not even @rmbolger 's Resolve-Dns supports the LOC resource record type.

Although I suspect that might be the Windows tool that gains support the most quickly, just for the bragging rights of being able to show an ISS LOC record in Windows when no-one else can. (-:

#PowerShell #DNS #MicrosoftWindows #nslookup

Show thread

JdeBP Apr 22, 2025

@robpumphrey

I should probably mention this flaw on the #nslookup flaws page. The BIND DNS client library doesn't continue on to the next server if it receives a response without the "RA" flag; but nslookup does.

A flaw going back to at least 2009, from a quick look at the people asking questions about it, but introduced since I last touched that page in 2004; as I believe I included all of the known major gotchas of the time. (-:

https://jdebp.uk/FGA/nslookup-flaws.html

#DomainNameSystem

FGA: nslookup is a badly flawed tool. Don't use it.

Show thread

T4$Jan 24, 2025

...would normally ask an AI for a quick and simple answer. But since I am avoiding that now, let's see how long it takes to get an answer. Web searches have provided no good "versus" discussion. Although I did find out that ISC decided to not deprecate nslookup a while ago. I didn't realize that changed. #nslookup #dig #dns

mark sta ana Jan 23, 2025

Niche DNS/Kubernetes tip: if for some bizarre reason you don't have access to nslookup but do have dig (?!) and are troubleshooting weird dns resolution problems - try this handy tip: Use +search option to get dig to use /etc/resolv.conf's search/domain list. This explains a lot of why I got unexpected results when trying to use dig in place of nslookup when I used to be a sysadmin.

🏷️ #dig #nslookup #itsalwaysdns #kubernetes #til #clusterdns #coredns