1. 首頁 > 生活百科 > >

ClickFix攻擊者使用新策略躲避檢測手段

網絡安全Windows微軟惡意軟件

ClickFix攻擊者使用新策略躲避檢測手段

【ClickFix攻擊者使用新策略躲避檢測手段】威脅攻擊者正在嘗試新的策略 , 誘導員工上當受騙 , 使其陷入ClickFix釣魚攻擊并安裝惡意軟件 , 微軟公司表示 。

攻擊者不再要求潛在受害者將惡意命令復制粘貼到運行對話框中(通過按Windows鍵加字母R啟動) , 而是告訴他們使用Windows + X → I快捷鍵直接啟動Windows終端(wt.exe) 。
一旦終端打開 , 受害者會被提示粘貼惡意PowerShell命令 , 這些命令通過虛假驗證碼頁面、故障排除提示或驗證式誘餌傳遞 , 這些誘餌被設計成看起來常規且無害的樣子 。
為什么要這樣做?這種方式可以躲避那些尋找異常運行命令的防御系統 , 同時繞過告訴員工不要執行任何調用運行命令操作的安全意識培訓 。
微軟本周在X平臺的一篇帖子中描述了這種策略 , 稱這次活動的顯著之處在于攻擊后的結果 。 在一個案例中 , 會打開多個Windows終端/PowerShell實例 , 最終啟動另一個負責解碼嵌入式十六進制命令的PowerShell進程 。
解碼后的PowerShell腳本隨后下載一個合法但重命名的7-Zip二進制文件 , 并以隨機文件名保存 , 同時下載一個壓縮載荷 。 重命名的存檔實用程序會提取并運行惡意軟件 , 執行多階段攻擊鏈 , 包括檢索額外載荷、通過計劃任務建立持久性、通過微軟Defender排除規避防御 , 以及竊取機器和網絡數據 。
在第二種攻擊路徑中 , 受害者將十六進制編碼的XOR壓縮命令粘貼到Windows終端中 。 該命令將一個隨機命名的批處理文件下載到AppData\\Local , 然后通過cmd.exe調用 , 在%Temp%中寫入VBScript 。 批處理腳本通過帶有/launched命令行參數的cmd.exe執行 , 然后通過MSBuild.exe再次執行 , 導致LOLBin濫用 。 腳本連接到加密區塊鏈RPC端點 , 表明使用了以太坊隱藏技術 , 同時執行基于QueueUserAPC()的代碼注入 , 注入到chrome.exe和msedge.exe進程中以收集網頁和登錄數據 。
然而 , 一些專家很快在微軟的帖子下評論 , 抱怨Windows + X策略并不新鮮 。
意識培訓提供商KnowBe4的CISO顧問Roger Grimes表示同意 。
他在郵件中說:\"使用Win+X而不是Win+R的ClickFix攻擊已經存在至少六個月 , 甚至可能一年或更長時間 。 他們在執行過程中所做的并不新鮮 。 \"
不管怎樣 , 他補充說 , ClickFix攻擊的持續和增加使用意味著信息安全領導者仍需要對員工進行相關教育 。
他說:\"我們早就有針對這類攻擊的培訓內容 。 用戶需要知道 , 任何合法操作都不會要求他們使用Win+任何鍵來粘貼胡言亂語來運行代碼 。 任何要求這樣做的操作都不應該執行 。 \"
\"所有Windows計算機都應該已經受到限制 , 不允許隨意運行未簽名(非組織簽名)的PowerShell命令 。 每個組織和機器都應該已經啟用以下PowerShell命令設置:'Set-ExecutionPolicy Restricted -Force' 。 如果沒有 , 您組織的網絡安全風險遠比必要的高 。 \"
Swimlane公司首席安全解決方案架構師Joshua Roback指出 , 微軟概述的這次活動將ClickFix手冊推向了更受信任的日常工作流程 , 讓用戶在感覺常規和安全的合法Windows工具中運行粘貼的命令內容 。 他說 , 這很重要 , 因為它避開了人們通常與可疑彈窗相關的心理紅旗 , 也能躲避安全團隊針對更明顯ClickFix模式調整的一些控制和檢測 。
他補充說 , 載荷鏈也比以前的變體更持久 。 它不是快速的一次性檢索技巧 , 而是使用更分層的傳遞和持久性方法 , 幫助它融合進來 , 停留更長時間 , 并在落地后悄悄升級損害 。 一條路徑增加了額外的間接層 , 幫助攻擊者的基礎設施融合并保持可達性 , 這可以使拆除和直接阻止變得不那么有效 。
對于CISO來說 , 他說 , 對員工的信息必須清晰 。 \"使用簡單的經驗法則:永遠不要運行粘貼的命令 , 永遠不要批準意外的登錄 , 并通過官方公司支持渠道報告所有事件 。 \"
微軟在去年的安全博客中指出 , ClickFix釣魚活動始于2024年 , 該博客詳細介紹了活動的策略和攻擊指標 。 攻擊從員工被要求點擊鏈接或打開附件開始 , 通常在電子郵件或短信中帶有付款或發票主題 。 為了躲避阻止員工下載未批準文件的防御 , 用戶在彈窗中被告知要通過打開運行對話框并復制粘貼某些內容來\"驗證下載\" 。
目標是讓不知情的受害者下載惡意軟件 , 如信息竊取器(通常是LummaStealer)、遠程訪問工具如Xworm、AsyncRAT、NetSupport和SectopRAT;加載器如Latrodectus和MintsLoader;以及rootkit 。
在博客中 , 微軟為防御者提供了對抗ClickFix攻擊的建議 , 包括建議啟用PowerShell腳本塊日志記錄來檢測和分析混淆或編碼的命令 , 這將為可能躲避傳統日志記錄的惡意腳本執行提供可見性 。
Q&A
Q1:ClickFix攻擊的新策略是什么?有什么變化?
A:ClickFix攻擊的新策略是讓受害者使用Windows + X → I快捷鍵直接啟動Windows終端 , 而不是之前的Windows + R打開運行對話框 。 這種方式可以躲避尋找異常運行命令的防御系統 , 并繞過相關的安全意識培訓 。
Q2:ClickFix攻擊會造成什么危害?
A:ClickFix攻擊會導致多階段攻擊鏈 , 包括下載惡意軟件如信息竊取器LummaStealer、遠程訪問工具、加載器和rootkit等 , 建立系統持久性 , 躲避防御檢測 , 并竊取機器和網絡數據 。
Q3:如何防護ClickFix攻擊?
A:防護ClickFix攻擊需要教育員工永遠不要運行粘貼的命令 , 設置PowerShell執行策略為受限模式 , 啟用PowerShell腳本塊日志記錄 , 以及通過官方渠道報告可疑事件 。 組織應確保未簽名的PowerShell命令無法隨意執行 。

    推薦閱讀