ClickFix的进攻机制

ClickFix 攻击日益猖獗，给全球用户制造安全威胁。这是一种社会工程学攻击，攻击者会诱骗用户在自己的设备上执行恶意代码。
攻击始于用户访问被黑客入侵的网站或虚假网站，这样的网站会显示一个警告信息，如页面显示异常、浏览器发生错误或需要更新。 屏幕上会出现“修复”、“检查”或“更新”按钮。当这些按钮出现时，恶意代码会被悄无声息地复制到剪贴板，甚至无需用户点击按钮，复制过程是自动的。然后，系统会提示用户点击“运行”将代码粘贴到命令行或窗口中。用户执行此操作后，恶意软件就会启动并安装，因为操作由用户自己执行，通常不会进行反病毒检查。

以下是一个 ClickFix 攻击的简化模拟
当用户在启动浏览器并查看内容时，出现一条预警，提示页面显示出现问题，并且这些错误出现的原因是浏览器最近的一次更新。

同时提示用户执行一系列操作来解决这个问题： 

• 点击“Fix it!”按钮； 

• 右键单击 Windows 图标； 

• 从列表中选择具有管理员权限的 Windows PowerShell； 

• 右键单击粘贴代码并执行。

点击浏览器中的按钮会静默复制恶意可执行脚本，将其粘贴到 PowerShell 终端并执行：

这个脚本会创建与 C2 基础设施的远程连接，从而使攻击者能够远程控制被感染的系统。 
我们模拟的这种情况是与远程 C2 主机建立连接，并将可执行文件形式的有效载荷下载到用户主机，有效载荷的功能是修改 hosts 文件，启动其激活机制，然后终止脚本。 
在恶意文件启动阶段，Dr.Web 解决方案利用预防性保护技术成功将其侦测。 
另一种常见的 ClickFix 攻击是伪装成验证码的攻击。屏幕上会显示看似正常的验证过程，而恶意代码已在后台复制到剪贴板。这种伪装增加了攻击成功的可能性，诱使用户误以为只是在确认身份，在不知情的情况下与恶意内容发生交互作用。

接下来会出现如何运行代码的操作说明。

如果容易轻信的用户遵循这个步骤说明进行操作，就会让攻击者获得远程访问设备的可能：用户自己运行的是恶意脚本。

为什么ClickFix 攻击难以侦测？ 
当用户点击恶意网站上的按钮时，反病毒软件不会看到任何威胁。这是因为在此阶段，所有操作都还完全正常：用户自己在复制、粘贴和运行命令，就像是正常的系统操作。 
当恶意文件启动或代码尝试集成到系统中的其他进程时反病毒软件会进行侦测，这时反病毒软件会识别出威胁并将其消除。换句话说，保护措施是在所谓的后运行阶段触发，此时恶意软件已开始其主动操作，比如会影响受保护的进程或其本身行为可疑。 
但此时，攻击者通常已经连接到了受害者的系统。这意味着主要的恶意负载已经入侵，并且可以伪装成正常进程。 
在此阶段，攻击者可以：

• 巩固其在系统中的存在（获得更多权限） 

• 收集数据 

• 通过网络移动 

• 尝试禁用反病毒保护

此外，恶意软件可以经过加密或混淆处理，使其更难被常规防御机制发现。
为什么在进攻发生的最初阶段采取行动至关重要？
从我们上面的介绍已将可以了解到不仅要在威胁出现后做出响应，还要阻止攻击者连接到系统，这一点尤为重要。可以通过以下方法实现：

• 如果浏览器中出现包含命令（例如 PowerShell）的可疑消息，要检查剪贴板内容

• 分析网络流量，识别建立可疑连接的尝试

• 培养用户识别社会工程的能力，包括通过分析真实的攻击场景