如果你在網頁上看到一個假的驗證碼(CAPTCHA)或錯誤訊息,要求你按下特定快捷鍵、貼上指令並執行以「證明你是人類」,請絕對不要照做。這就是目前極其猖獗的 ClickFix 攻擊手法。
近期安全研究員 Bert-Jan Pals 分析了約 3,000 個真實的 ClickFix 攻擊載荷(Payload),揭露了攻擊者如何將這種簡單的社交工程轉化為高度自動化的 API 服務,並開發出能繞過 Windows 安全防禦的新手段。對於工程師而言,理解這種攻擊的演進能幫助我們更好地設計端點防禦策略。
ClickFix 的核心邏輯:利用人為操作繞過防禦
傳統的惡意軟體通常依賴漏洞利用(Exploit)或誘騙使用者下載執行檔,這類行為容易被防毒軟體(AV)或電子郵件過濾器攔截。而 ClickFix 採取的是一種極其簡單但有效的策略:讓使用者「親手」執行惡意指令。
其操作流程通常如下: 第一步,使用者進入一個偽裝成驗證頁面或報錯頁面的網站。 第二步,網頁後端的 JavaScript 會悄悄將一段惡意指令複製到使用者的剪貼簿(Clipboard)中。 第三步,頁面指引使用者按下 Win+R(執行)或 Win+X(終端機),貼上指令並按下 Enter。
因為指令是由使用者主動貼上並執行的,且初期不涉及可疑檔案的下載,許多傳統的端點偵測工具(EDR)在第一階段難以發現異常。
進化一:API 驅動的動態載荷生成
過去的攻擊指令可能是固定的,容易被安全廠商定義特徵碼(Signature)而封鎖。但最新的研究發現,ClickFix 已經演變成一種 API 服務模式。
攻擊頁面不再直接攜帶指令,而是向後端伺服器發送請求。伺服器會根據訪問者的 Token、作業系統(支援 Windows 與 macOS)以及語言設定,即時生成一段經過混淆(Obfuscation)的指令。
研究員發現,即使是同一段惡意腳本,伺服器每次回傳的封裝方式都不同,會隨機切換 Base64、AES、TripleDES 或 Deflate 等加密與壓縮算法。這種做法讓每一位受害者的指令在字面上看起來完全不同,使基於特徵比對的防禦機制幾乎失效。
進化二:繞過 AMSI 的下載資料夾法
為了應對安全人員對剪貼簿內容的監控,攻擊者開發了一種新的遞送方式。
原本的作法是直接將完整的惡意 PowerShell 指令放入剪貼簿,這很容易觸發 Windows 的 AMSI(Antimalware Scan Interface,反惡意軟體掃描介面)。AMSI 會在腳本執行前對其進行掃描,若發現惡意特徵會立即攔截。
現在的新手法是: 網頁先悄悄將一個看似無害的壓縮檔(例如 tmp.zip)下載到使用者的 Downloads 資料夾。 剪貼簿中不再存放主程式,而是一行簡短的編排指令(Orchestrator)。 這行指令的作用僅僅是將下載的檔案移動到暫存目錄、解壓縮並執行其中的腳本。
由於貼上的指令僅僅是搬運檔案的簡單動作,不包含惡意邏輯,因此能輕易滑過 AMSI 的掃描。真正的惡意代碼隱藏在已下載的檔案中,直到被執行才在記憶體中展開。
隱蔽性的提升:從 Run 視窗轉向終端機
早期的 ClickFix 誘導使用者使用 Win+R 開啟「執行」對話框。但資安分析人員通常會檢查登錄檔中的 RunMRU 鍵值來追溯使用者執行過什麼指令。
最新的趨勢是誘導使用者按下 Win+X 開啟 Windows Terminal(終端機)。在終端機中執行指令看起來更像開發者的日常操作,且不會在 RunMRU 留下紀錄,增加了取證的難度。
如何有效防禦與偵測
既然指令內容會不斷變動,我們不能依賴「比對指令文字」來防禦,而應該關注「行為鏈」(Process Chain)。
在實務上,應監控以下異常的程序啟動路徑: 由 explorer.exe(檔案總管)或 WindowsTerminal.exe(終端機)啟動了 powershell.exe、cmd.exe 或 msiexec.exe,且隨後立即發起對外網路連線。
針對工程師與系統管理員的建議: 強化 EDR 行為偵測:設定規則攔截非預期的腳本解釋器啟動行為。 實施應用程式控制(Application Control):限制一般使用者權限下可調用的腳本執行策略。 使用者教育:明確告知員工,任何要求將剪貼簿內容貼入終端機或執行視窗的網頁均為詐騙。
ClickFix 已經從單純的詐騙工具演變成由國家級 APT 組織(如俄羅斯、伊朗、北韓)採用的標準攻擊鏈。這種將社交工程與 API 自動化結合的模式,預示著未來惡意軟體的遞送將更加碎片化且難以捉摸。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。