这次来聊聊那个事儿,就是2025年10月闹得挺大的ClickFix攻击。当时有位叫Ben Folland还有Anna Pham的专家,把这次怎么用假的Windows更新骗受害者上钩的事儿给查明白了。他们发现,黑客把命令直接弄到Windows的运行框里去了,其实就是让你以为是系统在更新,其实是在骗你执行恶意代码。 这招挺毒的,命令进去后就会直接触发恶意软件。那里面的有效载荷是藏在PNG图片里的,用了AES加密,给它解封装的那个家伙叫Stego Loader。这个Loader用C#写的自定义例程去把壳代码扒出来,然后再通过Donut工具重新打包。这样一来,VBScript、JScript、EXE、DLL文件和.NET程序集都能在内存里跑起来。 咱们的分析师一看,这不就是LummaC2还有Rhadamanthys嘛。这都说明现在的恶意软件不单单是传个可执行文件那么简单了,都是弄点隐写术藏在各种看起来无害的文件里,给咱们检测造成了不小麻烦。 更恶心的是,有些家伙还弄了个叫ctrampoline的动态规避策略。就是调用好几千个空函数,把分析搞得晕头转向。为了不让这招再继续害人,执法部门在11月搞了个“终局行动”,把他们那部分服务器都给端了。 虽然域名没传送最终的东西了,但那些假更新页面现在还活着呢。这帮人手法真够灵活的,一会儿弄个人脸验证一会儿搞动画特效,就为了骗你去点那个“确定”。 咱们以后得留个心眼儿了。要是发现浏览器的进程链里有explorer.exe把mshta.exe或者PowerShell给弄起来了,那就得赶紧查查看。 还得去RunMRU那个注册表键里头翻翻最近执行过的命令都有啥。要是真的中招了,最好是赶紧杀毒、搞防火墙保护;能把Windows运行框给禁用掉就更放心了。 企业也得防着点那些看似合法的图像和脚本。这些东西要是被坏人利用起来做载体,那日志记录、监控还有取证分析都会变得特别难搞。这也给供应链安全敲响了警钟:谁知道他们会不会哪天就利用受信任的更新机制来当突破口呢?