分析 ClickFix：复制/粘贴攻击导致安全漏洞的 3 个原因

ClickFix、FileFix、假 CAPTCHA — — 不管你怎么称呼它，用户与 Web 浏览器中的恶意脚本交互的攻击都是快速增长的安全漏洞源。

ClickFix 攻击会提示用户解决浏览器中的某种问题或挑战——最常见的是 CAPTCHA，但也包括修复网页上的错误等。

不过，这个名字有点误导——攻击的关键因素是他们通过从页面剪贴板复制恶意代码并在本地运行来诱骗用户在其设备上运行恶意命令。


攻击者在野外使用的 ClickFix 诱饵示例。
众所周知，ClickFix 经常被 Interlock 勒索软件组织和其他活跃的威胁行为者（包括国家支持的 APT）使用。近期发生的多起公共数据泄露事件都与 ClickFix 式的 TTP 有关，例如凯特琳健康中心 (Kettering Health)、DaVita、明尼苏达州圣保罗市以及德克萨斯理工大学健康科学中心（还有更多数据泄露事件可能与 ClickFix 有关，但攻击媒介尚未知晓或披露）。

但为什么这些攻击被证明如此有效？

原因 1：用户尚未准备好使用 ClickFix#
在过去十多年里，用户安全意识的重点一直放在阻止用户点击可疑电子邮件中的链接、下载危险文件以及在随机网站上输入用户名和密码，而不是打开程序并运行命令。

当您考虑到恶意剪贴板复制操作 99% 的时间都是通过 JavaScript 在后台执行时，怀疑就会进一步减少。


未混淆的 JavaScript 代码示例，无需用户输入即可在 ClickFix 页面上自动执行复制功能。
随着现代 ClickFix 网站和诱饵变得越来越合法（见下面的例子），用户成为受害者也就不足为奇了。


这是看起来更合法的 ClickFix 诱饵之一 — — 这个诱饵甚至嵌入了视频，向用户展示如何操作！
当你考虑到这些攻击完全远离电子邮件时，它并不符合用户被训练怀疑的模式。

Push Security 研究人员发现，最主要的传播媒介是通过 Google 搜索进行的SEO 投毒和恶意广告。攻击者通过创建新域名或接管合法域名，创建水坑攻击场景来拦截浏览互联网的用户。

即使您有所怀疑，也没有方便的“报告网络钓鱼”按钮或工作流程来通知您的安全团队有关 Google 搜索结果、社交媒体消息、网站广告等的信息。

原因 2：ClickFix 在交付过程中未被检测到#
ClickFix 攻击无法被技术控制检测到的原因有几个。

与其他现代钓鱼网站一样，ClickFix 页面使用了一系列检测规避技术，以防止被安全工具（从电子邮件扫描程序、网络爬虫安全工具到分析网络流量的网络代理）标记。规避检测主要包括：伪装和轮换域名以避开已知不良检测（例如黑名单）；使用机器人保护来阻止分析；以及对页面内容进行深度混淆以阻止检测签名触发。

通过使用非电子邮件传递媒介，整个检测机会层就被切断了。


与其他现代网络钓鱼攻击一样，ClickFix 诱饵分布在整个互联网上 - 而不仅仅是电子邮件中。
恶意广告又增加了一层定位。例如，Google 广告可以针对来自特定地理位置的搜索进行投放，根据特定的电子邮件域名匹配或特定的设备类型（例如桌面设备、移动设备等）进行定制。如果您知道目标用户的位置，就可以相应地定制广告参数。

与其他技术一起，例如条件加载以返回适合您的操作系统的诱饵（或者根本不触发，除非满足某些条件，例如您从移动操作系统访问或从目标 IP 范围之外访问），攻击者可以接触大量潜在受害者，同时避免电子邮件层的安全控制并防止不必要的分析。


在氛围编码网站上构建 ClickFix 诱饵的示例。
最后，由于代码是在浏览器沙盒内复制的，典型的安全工具无法观察到并将此操作标记为潜在的恶意行为。这意味着，企业阻止 ClickFix 的最后机会（也是唯一的机会）是在终端上，即用户尝试运行恶意代码之后。

原因 3：EDR 是最后一道也是唯一的防线，而且并非万无一失#
攻击有多个阶段，可以并且应该被 EDR 拦截，但检测级别的提高以及是否实时阻止某个操作取决于具体情况。

由于无需从网络下载文件，并且在计算机上运行代码的行为是由用户发起的，因此不存在将该操作与其他应用程序关联起来使其显得可疑的上下文。例如，从 Outlook 或 Chrome 执行的恶意 PowerShell 显然会显得可疑，但由于它是由用户发起的，因此它与代码交付的上下文是隔离的。

恶意命令本身可能被混淆或分解成多个阶段，以避免被启发式规则轻易检测到。EDR 遥测可能会记录 PowerShell 进程的运行，但由于缺乏已知的恶意签名或明显的策略违规行为，它可能不会立即将其标记出来。

任何信誉良好的 EDR 都应该在恶意软件执行时拦截攻击的最终阶段。但规避检测就像一场猫捉老鼠的游戏，攻击者总是在寻找方法调整恶意软件以规避或禁用检测工具。所以，例外情况确实会发生。

如果您的组织允许员工和承包商使用非托管 BYOD 设备，那么您的 EDR 覆盖范围很可能会存在差距。

最终，组织只能依赖单一的防线——如果攻击没有被 EDR 检测和阻止，那么就根本无法被发现。

标准建议为何不足#
大多数与供应商无关的建议都侧重于限制普通用户对 Windows 运行对话框等服务的访问。尽管 mshta 和 PowerShell 仍然是最常见的攻击方式，但安全研究人员已经发现了各种针对不同服务的 LOLBINS，其中许多服务很难阻止用户访问。

未来 ClickFix 式攻击可能会如何演变也值得思考。当前的攻击路径跨越浏览器和终端——如果它可以完全在浏览器中进行并完全规避 EDR，情况会怎样？例如，将恶意 JavaScript 直接粘贴到相关网页的开发者工具中。


当前的混合攻击路径是攻击者在浏览器中投放诱饵，入侵终端，进而获取存储在浏览器中的凭证和 Cookie。如果可以完全跳过终端环节呢？
在浏览器中阻止 ClickFix#
Push Security 的最新功能“恶意复制粘贴检测”通过基于浏览器的检测和拦截，能够尽早发现 ClickFix 式攻击。这是一种通用有效的控制措施，无论诱饵投放渠道、页面样式和结构，以及恶意软件的类型和执行方式如何，都能有效发挥作用。

与完全阻止复制粘贴的严厉 DLP 解决方案不同，Push 可以保护您的员工，而不会破坏他们的用户体验或妨碍工作效率。

观看下面的视频以了解更多信息。


了解更多#
如果您想了解有关 ClickFix 攻击及其演变方式的更多信息，请查看即将举行的网络研讨会，其中 Push Security 研究人员将深入研究现实世界的 ClickFix 示例并演示 ClickFix 站点的底层工作原理。


Push Security 基于浏览器的安全平台提供全面的攻击检测和响应功能，可抵御 AiTM 网络钓鱼、凭证填充、ClickFixing、恶意浏览器扩展程序以及使用窃取的会话令牌进行会话劫持等攻击手段。您还可以使用 Push 查找并修复员工所用应用程序中的漏洞，例如幽灵登录、SSO 覆盖漏洞、MFA 漏洞、易受攻击的密码、存在风险的 OAuth 集成等等，从而强化您的身份攻击面。