ClickFix攻击者使用新策略躲避检测手段

威胁攻击者正在尝试新的策略，诱导员工上当受骗，使其陷入ClickFix钓鱼攻击并安装恶意软件，微软公司表示。

攻击者不再要求潜在受害者将恶意命令复制粘贴到运行对话框中（通过按Windows键加字母R启动），而是告诉他们使用Windows + X → I快捷键直接启动Windows终端（wt.exe）。

一旦终端打开，受害者会被提示粘贴恶意PowerShell命令，这些命令通过虚假验证码页面、故障排除提示或验证式诱饵传递，这些诱饵被设计成看起来常规且无害的样子。

为什么要这样做？这种方式可以躲避那些寻找异常运行命令的防御系统，同时绕过告诉员工不要执行任何调用运行命令操作的安全意识培训。

微软本周在X平台的一篇帖子中描述了这种策略，称这次活动的显著之处在于攻击后的结果。在一个案例中，会打开多个Windows终端/PowerShell实例，最终启动另一个负责解码嵌入式十六进制命令的PowerShell进程。

解码后的PowerShell脚本随后下载一个合法但重命名的7-Zip二进制文件，并以随机文件名保存，同时下载一个压缩载荷。重命名的存档实用程序会提取并运行恶意软件，执行多阶段攻击链，包括检索额外载荷、通过计划任务建立持久性、通过微软Defender排除规避防御，以及窃取机器和网络数据。

在第二种攻击路径中，受害者将十六进制编码的XOR压缩命令粘贴到Windows终端中。该命令将一个随机命名的批处理文件下载到AppData\Local，然后通过cmd.exe调用，在%Temp%中写入VBScript。批处理脚本通过带有/launched命令行参数的cmd.exe执行，然后通过MSBuild.exe再次执行，导致LOLBin滥用。脚本连接到加密区块链RPC端点，表明使用了以太坊隐藏技术，同时执行基于QueueUserAPC()的代码注入，注入到chrome.exe和msedge.exe进程中以收集网页和登录数据。

然而，一些专家很快在微软的帖子下评论，抱怨Windows + X策略并不新鲜。

意识培训提供商KnowBe4的CISO顾问Roger Grimes表示同意。

他在邮件中说："使用Win+X而不是Win+R的ClickFix攻击已经存在至少六个月，甚至可能一年或更长时间。他们在执行过程中所做的并不新鲜。"

不管怎样，他补充说，ClickFix攻击的持续和增加使用意味着信息安全领导者仍需要对员工进行相关教育。

他说："我们早就有针对这类攻击的培训内容。用户需要知道，任何合法操作都不会要求他们使用Win+任何键来粘贴胡言乱语来运行代码。任何要求这样做的操作都不应该执行。"

"所有Windows计算机都应该已经受到限制，不允许随意运行未签名（非组织签名）的PowerShell命令。每个组织和机器都应该已经启用以下PowerShell命令设置：'Set-ExecutionPolicy Restricted -Force'。如果没有，您组织的网络安全风险远比必要的高。"

Swimlane公司首席安全解决方案架构师Joshua Roback指出，微软概述的这次活动将ClickFix手册推向了更受信任的日常工作流程，让用户在感觉常规和安全的合法Windows工具中运行粘贴的命令内容。他说，这很重要，因为它避开了人们通常与可疑弹窗相关的心理红旗，也能躲避安全团队针对更明显ClickFix模式调整的一些控制和检测。

他补充说，载荷链也比以前的变体更持久。它不是快速的一次性检索技巧，而是使用更分层的传递和持久性方法，帮助它融合进来，停留更长时间，并在落地后悄悄升级损害。一条路径增加了额外的间接层，帮助攻击者的基础设施融合并保持可达性，这可以使拆除和直接阻止变得不那么有效。

对于CISO来说，他说，对员工的信息必须清晰。"使用简单的经验法则：永远不要运行粘贴的命令，永远不要批准意外的登录，并通过官方公司支持渠道报告所有事件。"

微软在去年的安全博客中指出，ClickFix钓鱼活动始于2024年，该博客详细介绍了活动的策略和攻击指标。攻击从员工被要求点击链接或打开附件开始，通常在电子邮件或短信中带有付款或发票主题。为了躲避阻止员工下载未批准文件的防御，用户在弹窗中被告知要通过打开运行对话框并复制粘贴某些内容来"验证下载"。

目标是让不知情的受害者下载恶意软件，如信息窃取器（通常是LummaStealer）、远程访问工具如Xworm、AsyncRAT、NetSupport和SectopRAT；加载器如Latrodectus和MintsLoader；以及rootkit。

在博客中，微软为防御者提供了对抗ClickFix攻击的建议，包括建议启用PowerShell脚本块日志记录来检测和分析混淆或编码的命令，这将为可能躲避传统日志记录的恶意脚本执行提供可见性。

Q&A

Q1：ClickFix攻击的新策略是什么？有什么变化？

A：ClickFix攻击的新策略是让受害者使用Windows + X → I快捷键直接启动Windows终端，而不是之前的Windows + R打开运行对话框。这种方式可以躲避寻找异常运行命令的防御系统，并绕过相关的安全意识培训。

Q2：ClickFix攻击会造成什么危害？

A：ClickFix攻击会导致多阶段攻击链，包括下载恶意软件如信息窃取器LummaStealer、远程访问工具、加载器和rootkit等，建立系统持久性，躲避防御检测，并窃取机器和网络数据。

Q3：如何防护ClickFix攻击？

A：防护ClickFix攻击需要教育员工永远不要运行粘贴的命令，设置PowerShell执行策略为受限模式，启用PowerShell脚本块日志记录，以及通过官方渠道报告可疑事件。组织应确保未签名的PowerShell命令无法随意执行。