【翻译】威胁狩猎:从剪贴板到入侵,PowerShell的自我攻击
字数 2159 2025-08-22 12:23:13

威胁狩猎:从剪贴板到入侵 - PowerShell自我攻击技术分析

关键发现

Proofpoint研究人员发现了一种通过社会工程手段诱导用户运行PowerShell并安装恶意软件的技术。该技术被TA571和ClearFake等威胁行为者广泛使用,通过巧妙设计的虚假错误信息诱导用户手动执行恶意脚本。

攻击概述

攻击者通过两种主要方式传播恶意脚本:

  1. 通过垃圾邮件发送HTML附件
  2. 通过Web浏览器注入(如ClearFake活动)

无论哪种方式,攻击流程都类似:

  1. 用户看到虚假错误提示
  2. 被诱导复制恶意脚本到剪贴板
  3. 指导用户在PowerShell终端或Windows运行对话框中执行脚本

详细攻击技术分析

ClearFake攻击案例

攻击链:

  1. 用户访问被入侵的合法网站
  2. 网站通过币安智能链合约加载托管在区块链上的恶意脚本(EtherHiding技术)
  3. 初始脚本加载第二个脚本(通过Keitaro TDS筛选)
  4. 用户看到虚假警告覆盖层,提示安装"根证书"
  5. 用户被诱导复制PowerShell脚本并执行

脚本行为:

  1. 清空DNS缓存和剪贴板内容
  2. 显示虚假信息
  3. 下载并内存执行远程PowerShell脚本
  4. 通过WMI查询系统温度(反沙箱检测)
  5. 下载解密"data.zip"并执行其中的.exe程序
  6. 向C2服务器报告安装完成

恶意负载:

  • 使用DOILoader(IDAT Loader/HijackLoader)加载Lumma Stealer
  • Lumma Stealer额外下载:
    • am.exe:Amadey加载器
    • ma.exe:XMRig加密货币挖矿软件
    • cl.exe:剪贴板劫持者(替换加密货币地址)

ClickFix事件

攻击特点:

  1. 网站被植入恶意代码,导向pley[.]es域名的iframe注入
  2. 显示虚假浏览器更新错误
  3. 诱导用户以管理员身份运行PowerShell
  4. 执行远程脚本下载Vidar Stealer

TA571攻击案例

攻击手法:

  1. 发送包含HTML附件的垃圾邮件
  2. HTML显示类似Word的页面和虚假错误(如"未安装'Word Online'扩展")
  3. 提供两个选项:
    • "如何修复":复制Base64编码的PowerShell命令到剪贴板
    • "自动修复":使用search-ms协议展示WebDAV托管的恶意文件

执行路径:

  1. MSI安装包路径:

    • 运行Inkpad3.dll
    • 调用DllUnregisterServer函数
    • 释放执行Inkpad_honeymoon.msp.dll
    • 安装Matanbuchus恶意软件

  2. VBS脚本路径:

    • 利用PowerShell下载执行DarkGate恶意软件

技术演进:

  • 不断变换诱饵和攻击手段
  • 在HTML中加入随机内容生成半唯一哈希值
  • 近期活动要求通过运行对话框而非PowerShell执行脚本

常见技术手段

  1. 剪贴板利用

    • 通过JavaScript复制恶意脚本到剪贴板
    • 使用多种编码方式隐藏恶意代码(双重Base64、反向Base64等)

  2. 执行方式

    • PowerShell终端:右键自动粘贴执行
    • 运行对话框:Ctrl+R打开,Ctrl+V粘贴,Enter执行

  3. 规避检测

    • 利用合法网站功能隐藏恶意行为
    • 受害者手动执行而非文件直接关联
    • 剪贴板内容检测困难

防御建议

  1. 用户培训

    • 识别虚假错误信息和社会工程技巧
    • 不随意执行不明来源的脚本
    • 报告可疑行为

  2. 技术防护

    • 在恶意HTML/网站呈现前进行检测拦截
    • 监控异常PowerShell活动
    • 限制PowerShell执行策略

  3. 安全策略

    • 禁用不必要的脚本执行
    • 实施应用程序白名单
    • 监控剪贴板相关活动

威胁指标(IoC)

类型 描述
邮箱 rechtsanwalt@ra-silberkuhl[.]com TA571活动回复邮箱
Hash 9701fec71e5bbec912f69c8ed63ffb6dba21b9cca7e67da5d60a72139c1795d1 TA571 HTML附件示例
URL hxxps://cdn3535[.]shop/1[.]zip TA571剪贴板负载(NetSupport RAT)
URL hxxps://lashakhazhalia86dancer[.]com/c[.]txt TA571剪贴板负载(DarkGate)
URL hxxp://languangjob[.]com/pandstvx TA571 HTA负载(DarkGate)
IP 91.222.173[.]113 DarkGate C2服务器
URL hxxps://rtattack[.]baqebei1[.]online/df/tt ClearFake PowerShell负载
URL hxxps://oazevents[.]com/loader[.]html ClickFix PowerShell负载URL

参考链接

  1. EtherHiding技术分析
  2. Proofpoint原始报告
威胁狩猎:从剪贴板到入侵 - PowerShell自我攻击技术分析 关键发现 Proofpoint研究人员发现了一种通过社会工程手段诱导用户运行PowerShell并安装恶意软件的技术。该技术被TA571和ClearFake等威胁行为者广泛使用,通过巧妙设计的虚假错误信息诱导用户手动执行恶意脚本。 攻击概述 攻击者通过两种主要方式传播恶意脚本: 通过垃圾邮件发送HTML附件 通过Web浏览器注入(如ClearFake活动) 无论哪种方式,攻击流程都类似: 用户看到虚假错误提示 被诱导复制恶意脚本到剪贴板 指导用户在PowerShell终端或Windows运行对话框中执行脚本 详细攻击技术分析 ClearFake攻击案例 攻击链: 用户访问被入侵的合法网站 网站通过币安智能链合约加载托管在区块链上的恶意脚本(EtherHiding技术) 初始脚本加载第二个脚本(通过Keitaro TDS筛选) 用户看到虚假警告覆盖层,提示安装"根证书" 用户被诱导复制PowerShell脚本并执行 脚本行为: 清空DNS缓存和剪贴板内容 显示虚假信息 下载并内存执行远程PowerShell脚本 通过WMI查询系统温度(反沙箱检测) 下载解密"data.zip"并执行其中的.exe程序 向C2服务器报告安装完成 恶意负载: 使用DOILoader(IDAT Loader/HijackLoader)加载Lumma Stealer Lumma Stealer额外下载: am.exe:Amadey加载器 ma.exe:XMRig加密货币挖矿软件 cl.exe:剪贴板劫持者(替换加密货币地址) ClickFix事件 攻击特点: 网站被植入恶意代码,导向pley[ . ]es域名的iframe注入 显示虚假浏览器更新错误 诱导用户以管理员身份运行PowerShell 执行远程脚本下载Vidar Stealer TA571攻击案例 攻击手法: 发送包含HTML附件的垃圾邮件 HTML显示类似Word的页面和虚假错误(如"未安装'Word Online'扩展") 提供两个选项: "如何修复":复制Base64编码的PowerShell命令到剪贴板 "自动修复":使用search-ms协议展示WebDAV托管的恶意文件 执行路径: MSI安装包路径: 运行Inkpad3.dll 调用DllUnregisterServer函数 释放执行Inkpad_ honeymoon.msp.dll 安装Matanbuchus恶意软件 VBS脚本路径: 利用PowerShell下载执行DarkGate恶意软件 技术演进: 不断变换诱饵和攻击手段 在HTML中加入随机内容生成半唯一哈希值 近期活动要求通过运行对话框而非PowerShell执行脚本 常见技术手段 剪贴板利用 : 通过JavaScript复制恶意脚本到剪贴板 使用多种编码方式隐藏恶意代码(双重Base64、反向Base64等) 执行方式 : PowerShell终端:右键自动粘贴执行 运行对话框:Ctrl+R打开,Ctrl+V粘贴,Enter执行 规避检测 : 利用合法网站功能隐藏恶意行为 受害者手动执行而非文件直接关联 剪贴板内容检测困难 防御建议 用户培训 : 识别虚假错误信息和社会工程技巧 不随意执行不明来源的脚本 报告可疑行为 技术防护 : 在恶意HTML/网站呈现前进行检测拦截 监控异常PowerShell活动 限制PowerShell执行策略 安全策略 : 禁用不必要的脚本执行 实施应用程序白名单 监控剪贴板相关活动 威胁指标(IoC) | 类型 | 值 | 描述 | |------|----|------| | 邮箱 | rechtsanwalt@ra-silberkuhl[ . ]com | TA571活动回复邮箱 | | Hash | 9701fec71e5bbec912f69c8ed63ffb6dba21b9cca7e67da5d60a72139c1795d1 | TA571 HTML附件示例 | | URL | hxxps://cdn3535[ .]shop/1[ . ]zip | TA571剪贴板负载(NetSupport RAT) | | URL | hxxps://lashakhazhalia86dancer[ .]com/c[ . ]txt | TA571剪贴板负载(DarkGate) | | URL | hxxp://languangjob[ . ]com/pandstvx | TA571 HTA负载(DarkGate) | | IP | 91.222.173[ . ]113 | DarkGate C2服务器 | | URL | hxxps://rtattack[ .]baqebei1[ . ]online/df/tt | ClearFake PowerShell负载 | | URL | hxxps://oazevents[ .]com/loader[ . ]html | ClickFix PowerShell负载URL | 参考链接 EtherHiding技术分析 Proofpoint原始报告