新发现的ClickFix攻击变种利用WorkFlowy应用绕过安全检测

免责声明：本报告由威胁研究中心制作，旨在提高网络安全意识和支持防御能力的加强。该报告基于发布时可用的威胁态势的独立研究和观察。内容仅供信息和准备目的。

Atos研究人员发现了流行的ClickFix技术的新变种，攻击者通过该技术说服用户在自己设备上通过Win + R快捷键执行恶意命令。在这个变种中，使用"net use"命令从外部服务器映射网络驱动器，然后执行托管在该驱动器上的".cmd"批处理文件。脚本下载ZIP存档，解压并执行合法的WorkFlowy应用程序，其中隐藏在".asar"存档内的恶意逻辑被修改。这充当C2信标和最终恶意软件载荷的投放器。

在此版本中，攻击的初始载体与其他所有版本相同，即伪装成验证码机制的网页——"happyglamper[.]ro"。它提示用户通过"Win+R"打开运行应用程序，然后按"Ctrl+V"和"Enter"。

这将执行以下命令：通常在这个阶段，攻击者使用PowerShell或mshta下载并执行恶意软件的下一阶段。但在这里，我们可以看到正在使用"net use"来映射和连接到外部服务器的网络驱动器，从中执行批处理脚本。虽然并非新颖，但这些TTP从未在ClickFix攻击中见过。结合下一个不常见的感染模式阶段，这个活动为攻击者提供了绕过防御控制并保持在防御者雷达下的高机会。

在这种情况下，观察到的ClickFix变种执行流程成功绕过了Microsoft Defender for Endpoint的检测。Atos安全团队仅通过专注于ClickFix技术主要行为方面的内部威胁猎杀服务才能检测到它——通过RunMRU注册表键进行初始执行。

初始执行脚本"update.cmd"从映射的驱动器加载并执行；之后，映射的驱动器被移除。"update.cmd"的内容：这生成一个PowerShell实例，下载zip存档并将其解压到"%LOCALAPPDATA%\MyApp\"目录中。然后执行"WorkFlowy.exe"二进制文件。

存档包含WorkFlowy桌面应用程序（版本1.4.1050），由开发者"FunRoutine Inc."签名，作为Electron应用程序包分发。Electron应用程序使用流行的Web技术——HTML、CSS和JavaScript编写，并使用".asar"存档在应用程序打包期间打包源代码。这样做有各种原因，比如减少Windows上长路径名的问题。恶意代码被注入到main.js中，这是应用程序的Node.js入口点，隐藏在app.asar存档内。

技术概况

恶意ASAR存档直接替换了合法的resources/app.asar。攻击者重新打包了应用程序的较旧版本（v1.4对比当前的v4.3），并注入了代码。

当WorkFlowy执行时，它在硬编码到二进制文件的相对路径中寻找app.asar文件。然后从其内部读取main.js文件，将其解码为字符串，并解析到嵌入式V8 Google JavaScript引擎中执行。攻击者用他们自己创建的main.js替换了合法的main.js。他们没有使用结构良好的脚本，而是使用了严重混淆的单行结构，在合法代码之上添加恶意代码，确保它首先执行并阻止WorkFlowy功能。

恶意代码包含几个关键功能：

恶意软件在合法应用程序启动之前执行：注入的IIFE以await f()开头——无限C2信标循环。因为f()永不解决，所有后续的合法WorkFlowy初始化代码都被永久阻止。恶意软件在启动时立即以完整的Node.js权限运行。

通过%APPDATA%\id.txt进行持久受害者指纹识别：在首次运行时生成随机8字符字母数字ID并写入%APPDATA%\id.txt。在后续运行中，读取存储的ID，为攻击者提供每台受害者机器在会话间的稳定标识符。

C2信标——每2秒泄露主机身份：函数u()发送包含受害者唯一ID、机器名称和Windows用户名的HTTP POST到C2服务器。f()中的循环以2秒间隔无限重复此操作。

远程载荷下载和执行：函数p()从C2接收任务对象，解码base64编码的文件内容，将其写入%TEMP%下的时间戳目录，并通过child_process.exec执行任何.exe。

如果没有建立C2连接，则不生成文件或目录。在此分析时，C2域已无响应。

恶意代码在Node.js主进程中运行——在Chromium沙箱外——具有登录用户的完整权限，允许恶意代码执行用户在系统上被允许执行的任何操作。实际上没有文件写入磁盘，由于恶意载荷打包在".asar"存档内，这额外有助于隐藏恶意代码。

投放器没有实现OS级持久性。信标仅在WorkFlowy打开时运行。在下一阶段交付之前写入磁盘的唯一工件是%APPDATA%\id.txt（受害者跟踪ID），并且只有在正确建立与C2的连接时才会如此。据推测，OS级持久性委托给C2通过投放器交付的任何载荷。

这个ClickFix变种很重要，因为它将初始访问从常用滥用的脚本和执行引擎（如PowerShell、MSHTA和WScript）转移开，而是依赖net use滥用WebDAV作为交付机制。以前的ClickFix活动通常通过直接调用被现代EDR解决方案严密监控的解释器或living-off-the-land二进制文件来暴露自己。相比之下，这个迭代将远程WebDAV共享挂载为本地驱动器，通过标准文件系统语义执行托管的批处理文件，并在使用后立即删除映射。这表明ClickFix仍在演进，扩展其代理执行方法的武器库并开始利用本机网络实用程序。

恶意逻辑通过用trojan化的main.js版本替换Workflowy应用程序的app.asar存档内容来隐藏。因为代码在Electron主进程内运行并保持打包在合法应用程序中，它避免了许多专注于独立加载器或脚本解释器的基于文件和行为的检测。ASAR存档很少被检查，允许投放器逻辑通过正常应用程序启动执行，可见性最小。

这种活动没有被安全控制检测到，仅通过Atos的目标威胁猎杀被识别。检测依赖于分析执行上下文而非载荷指标，特别是猎杀来自Explorer运行对话框的可疑命令执行（记录在RunMRU注册表键内）。这强调了威胁猎杀作为补充检测机制的日益重要性：随着ClickFix活动转向生成很少警报的本机实用程序和可信应用程序，只有主动的、假设驱动的猎杀才能帮助尽早发现这些弱信号以破坏攻击链。

Q&A

Q1：什么是ClickFix技术？它是如何工作的？

A：ClickFix是一种攻击技术，攻击者通过伪装成验证码的网页说服用户在自己设备上执行恶意命令。用户会被提示使用Win+R快捷键打开运行窗口，然后按Ctrl+V和Enter执行预先复制到剪贴板的恶意命令。

Q2：这个新的ClickFix变种有什么特别之处？

A：新变种使用"net use"命令映射外部网络驱动器，然后执行托管在该驱动器上的批处理文件，而不是直接使用PowerShell或其他常见的脚本解释器。它还将恶意代码隐藏在合法WorkFlowy应用程序的.asar存档中，使其更难被检测。

Q3：为什么这种攻击方式很难被发现？

A：因为它使用了合法的系统工具（net use）和可信的应用程序（WorkFlowy），避开了传统安全解决方案对脚本解释器的重点监控。恶意代码打包在.asar存档中，很少被检查，而且在Electron主进程中运行，绕过了许多基于文件和行为的检测机制。