剖析ClickFix攻击:复制粘贴攻击导致安全漏洞的三大原因

本文深入分析ClickFix攻击的工作原理,揭示这种通过复制粘贴恶意代码的社会工程学攻击为何能绕过传统安全防护,并探讨浏览器安全、终端防护等防御策略。

剖析ClickFix:复制粘贴攻击导致安全漏洞的三大原因

ClickFix、FileFix、虚假验证码——无论你如何称呼,这类诱使用户在网页浏览器中与恶意脚本交互的攻击正成为安全漏洞的快速增长源。

ClickFix攻击会提示用户在浏览器中解决某种问题或挑战——最常见的是验证码,但也包括修复网页错误等。然而这个名字有些误导——攻击的关键因素是它们通过诱骗用户从页面剪贴板复制恶意代码并在本地运行,从而在设备上执行恶意命令。

攻击者在实际攻击中使用的ClickFix诱饵示例。

已知Interlock勒索软件组织和其他多产威胁行为者(包括国家支持的APT组织)经常使用ClickFix。最近多起公开数据泄露事件都与ClickFix风格的TTP有关,如Kettering Health、DaVita、明尼苏达州圣保罗市和德克萨斯理工大学健康科学中心(可能还有更多涉及ClickFix的泄露事件,攻击向量未知或未披露)。

但为什么这些攻击如此有效?

原因一:用户对ClickFix毫无准备

过去十年甚至更长时间里,用户安全意识培训主要集中在阻止用户点击可疑邮件中的链接、下载风险文件以及在随机网站输入用户名和密码。它没有重点关注打开程序并运行命令。

考虑到恶意剪贴板复制操作99%的情况下是通过JavaScript在后台执行的,用户的怀疑进一步降低。

在ClickFix页面上自动执行复制功能的未混淆JavaScript代码示例。

随着现代ClickFix网站和诱饵看起来越来越逼真(见下方示例),用户成为受害者并不令人惊讶。

一个看起来更真实的ClickFix诱饵——这个甚至嵌入了视频向用户展示操作步骤!

考虑到这些攻击完全不再依赖电子邮件,它们不符合用户被训练要怀疑的模式。

Push Security研究人员发现的主要传播媒介是通过谷歌搜索的SEO投毒和恶意广告。通过创建新域名或接管合法域名,攻击者创建水坑攻击场景来拦截浏览互联网的用户。

即使你有所怀疑,对于谷歌搜索结果、社交媒体消息、网站广告等,也没有方便的"报告网络钓鱼"按钮或工作流程来通知安全团队。

原因二:ClickFix在传播过程中未被检测到

ClickFix攻击未被技术控制措施检测到有几个方面的原因。

与其他现代钓鱼网站一样,ClickFix页面使用一系列检测规避技术,防止被安全工具标记——从邮件扫描器到网络爬行安全工具,再到分析网络流量的网络代理。检测规避主要涉及伪装和轮换域名以领先于已知恶意检测(即阻止列表),使用机器人防护阻止分析,以及严重混淆页面内容以防止检测签名触发。

通过使用非电子邮件传播媒介,整个检测机会层被排除在外。

与其他现代钓鱼攻击一样,ClickFix诱饵遍布整个互联网——不仅仅是电子邮件。

恶意广告为攻击增加了另一层定向能力。例如,谷歌广告可以针对来自特定地理位置的搜索,定制特定电子邮件域名匹配,或特定设备类型(如台式机、移动设备等)。如果你知道目标的位置,可以相应调整广告参数。

结合其他技术,如条件加载以返回适合你操作系统的诱饵(或者除非满足特定条件否则完全不触发,例如你从移动操作系统访问,或从目标IP范围外访问),攻击者能够接触大量潜在受害者,同时避开电子邮件层的安全控制并防止不必要的分析。

构建在vibe-coded网站上的ClickFix诱饵示例。

最后,由于代码是在浏览器沙盒内复制的,典型的安全工具无法观察并将此操作标记为潜在恶意。这意味着组织阻止ClickFix的最后——也是唯一——机会是在终端上,在用户尝试运行恶意代码之后。

原因三:EDR是最后唯一防线——且非万无一失

攻击有多个阶段可以且应该被EDR拦截,但检测级别以及操作是否被实时阻止,是由上下文驱动的。

由于没有从网络下载文件,并且在机器上运行代码的操作是由用户发起的,没有上下文将此操作与另一个应用程序联系起来使其显得可疑。例如,从Outlook或Chrome执行的恶意PowerShell显然可疑,但由于是用户发起的,它与代码传递来源的上下文是隔离的。

恶意命令本身可能被混淆或分阶段执行,以避免被启发式规则轻易检测。EDR遥测可能记录PowerShell进程运行,但没有已知的恶意签名或明确的策略违规,它可能不会立即标记。

任何知名EDR应该拦截攻击的最后阶段是在恶意软件执行时。但检测规避是一场猫鼠游戏,攻击者总是在寻找调整恶意软件以规避或禁用检测工具的方法。因此,例外确实会发生。

如果你的组织允许员工和承包商使用非托管的BYOD设备,你的EDR覆盖很可能存在漏洞。

最终,组织让自己依赖于单一防线——如果攻击未被EDR检测和阻止,就完全不会被发现。

为什么标准建议效果不佳

大多数供应商无关的建议都集中在限制普通用户访问Windows运行对话框等服务。但尽管mshta和PowerShell仍然是最常观察到的,安全研究人员已经发现了针对不同服务的大量LOLBINS,其中许多很难阻止用户访问。

同样值得考虑的是ClickFix风格的攻击未来可能如何继续演变。当前的攻击路径横跨浏览器和终端——如果它完全在浏览器中进行并完全规避EDR呢?例如,通过将恶意JavaScript直接粘贴到相关网页的开发工具中。

当前的混合攻击路径是攻击者在浏览器中传递诱饵,以危害终端,获取存储在浏览器中的凭据和cookie。如果你可以完全跳过终端呢?

在浏览器前线阻止ClickFix

Push Security的最新功能——恶意复制粘贴检测,通过基于浏览器的检测和阻止,在最早机会应对ClickFix风格的攻击。这是一种普遍有效的控制措施,无论诱饵传递渠道、页面样式和结构,或恶意软件类型和执行的具体细节如何。

与完全阻止复制粘贴的粗暴DLP解决方案不同,Push保护你的员工而不破坏他们的用户体验或妨碍生产力。

查看下方视频了解更多信息。

了解更多

如果你想了解更多关于ClickFix攻击及其演变,请查看即将举行的网络研讨会,Push Security研究人员将深入探讨真实世界的ClickFix示例,并演示ClickFix网站的工作原理。

Push Security基于浏览器的安全平台提供全面的攻击检测和响应能力,对抗AiTM钓鱼、凭据填充、ClickFixing、恶意浏览器扩展和使用被盗会话令牌的会话劫持等技术。你还可以使用Push查找和修复员工使用应用程序中的漏洞,如幽灵登录、SSO覆盖差距、MFA差距、弱密码、风险OAuth集成等,以强化你的身份攻击面。

要了解有关Push的更多信息,请查看我们最新的产品概述或与我们团队预约现场演示。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次