黑客使用ClickFix策略攻击Windows机器并获得对系统的完全控制权

admin
admin
admin
138635
文章
114
评论
2025年3月4日13:49:58评论24 views字数 1737阅读5分47秒阅读模式

更多全球网络安全资讯尽在邑安全

黑客使用ClickFix策略攻击Windows机器并获得对系统的完全控制权

一场复杂的网络钓鱼活动正在进行中,威胁行为者利用多阶段攻击链,结合社会工程策略和修改过的开源工具,以攻陷Windows系统。该活动自2025年3月起活跃,采用ClickFix技术欺骗用户执行恶意代码,最终部署了一个定制版本的Havoc命令与控制(C2)框架。此次攻击凸显了结合心理操纵与云服务滥用以规避检测的不断演变的威胁。
攻击始于伪装成紧急文档通知的网络钓鱼邮件。这些邮件附带的HTML文件名为Documents.html,显示一个伪造的错误信息,指示用户将PowerShell命令复制并粘贴到终端中。这种ClickFix策略利用了受害者解决表面技术问题的意愿,绕过了传统的基于文件的检测方法。嵌入的PowerShell命令从攻击者控制的SharePoint URL检索脚本。该脚本(payload_20250112_074319.ps1)执行反分析检查,包括验证域计算机数量以检测沙箱环境。

黑客使用ClickFix策略攻击Windows机器并获得对系统的完全控制权

攻击流程

随后,它通过删除注册表项并为系统标记唯一的感染标识符来建立持久性。`HKCU:SoftwareMicrosoft`
如果环境通过沙箱检查,脚本会检查是否存在`pythonw.exe`。如果不存在,则在执行远程Python shellcode加载器(`payload_20250107_015913.py`)之前下载Python解释器。该加载器部分用俄语编写,分配内存、写入shellcode并执行它,以部署下一阶段:KaynLdr,这是一个从GitHub获取的反射式shellcode加载器。KaynLdr使用API哈希和直接内存操作来加载恶意DLL,而不会在磁盘上留下痕迹。

Havoc Demon DLL & SharePoint C2基础设施

最终的有效载荷是 Havoc 的修改版本,这是一个类似于 Cobalt Strike 的开源后开发框架。与标准 Havoc 实施不同,此变体使用 Microsoft Graph API 端点与攻击者控制的 SharePoint 文件通信,将恶意流量与合法的云服务请求混合在一起。
恶意软件在SharePoint的默认文档库中创建了两个文件:

- `{VictimID}pD9-tKout` 用于从受害者发送加密数据  

- `{VictimID}pD9-tKin` 用于接收命令。

在 CheckIn 阶段,恶意软件会传输系统元数据主机名、IP 地址、作系统详细信息和权限状态 — 使用 AES-256-CTR 和随机生成的密钥进行加密。
Fortinet 报告称,命令通过 SharePoint API 调用检索,并在检索后立即删除响应,以最大限度地减少取证足迹。通过将 C2 逻辑嵌入 Microsoft Graph API 交互中,攻击者可以利用与 SharePoint 和 Office 365 服务相关的信任。
AES 加密和 HTTPS 流量的使用使基于网络的检测进一步复杂化。FortiGuard 研究人员指出,该恶意软件支持 50 多种命令,包括文件泄露、横向移动和 Kerberos 票证作,以及 Havoc 公共存储库中的镜像功能。

缓解措施

Fortinet 已发布签名以阻止整个攻击链中的组件:

  • HTML/Agent.A5D4!tr对于初始网络钓鱼 HTML

  • PowerShell/MalwThreat!ebc5FT以及后续脚本Python/Agent.DF60!tr

  • W64/Havoc.L!tr对于 Havoc 负载。

该公司的内容撤防和重建 (CDR) 服务可以消除恶意宏,而 Backdoor.Havoc.Agent IPS 签名则针对 C2 通信。建议组织:

  1. 训练用户识别涉及终端命令的社会工程诱饵

  2. 监视 SharePoint 是否存在异常文件创建模式

  3. 限制在非管理员上下文中执行 PowerShell。

随着 Havoc 等开源进攻性框架的普及,对 API 驱动的云平台的持续监控对于识别隐蔽的 C2 通道变得至关重要。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/clickfix-tactic-to-attack-windows-machine/

原文始发于微信公众号(邑安全):黑客使用ClickFix策略攻击Windows机器并获得对系统的完全控制权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月4日13:49:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客使用ClickFix策略攻击Windows机器并获得对系统的完全控制权https://cn-sec.com/archives/3794155.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息