Innovative-010/clickfix-defense-toolkit

# 🛡️ ClickFix 防御工具包 本仓库提供实用的工具、检测方法、缓解措施、测试和认知宣导材料，帮助组织防御 ClickFix 式的社会工程学攻击。 ClickFix 是一种危险的社会工程学攻击，它通过操纵您的剪贴板来执行恶意代码。当您复制看似合法的文本（如 CAPTCHA 验证码或错误修复代码）时，网站会秘密地将您剪贴板中的内容替换为有害的 PowerShell 脚本、批处理命令或其他恶意代码。当您粘贴并执行它时，您会在不知不觉中在系统上安装了恶意软件。 ## ⚡ 快速应对方案 快速指南和验证脚本，用于拦截并验证常被滥用的 ClickFix 执行路径。 | 资源 | 用途 | |---|---| | [ClickFix 快速修复指南 - Intune](./clickfix-quickfix-guide-intune.md) | 基于 Intune 的快速修复指南 | | [ClickFix 防护评分 PowerShell 脚本](./ClickFix-Protection-Score.ps1) | 检查每个快速修复步骤是否已正确应用 | ## 🛡️ 长期应对方案 为了实现长期保护，请实施以下措施： - **应用程序控制** – 实施 WDAC、AppLocker、ThreatLocker 或其他允许列表解决方案，以控制允许执行的内容。 - **最小权限原则** – 减少不必要的管理员权限，并使用 LAPS 等控制措施进行本地管理员密码管理。 - **端点强化** – 应用 CIS Benchmarks，移除不必要的 Windows 应用程序，并强制执行攻击面减少规则。 - **检测与监控** – 监控可疑的执行路径、被拦截的尝试以及对 Windows 内置工具的滥用。 - **持续验证** – 定期（渗透）测试控制措施是否按预期工作，并在需要时进行改进。 ## 📂 分类 本部分为 ClickFix 快速修复实施指南提供了基础。它为组织提供了实用工具、缓解措施、检测方法、测试和研究资源的结构化概述，以帮助降低遭受 ClickFix 式攻击的风险。 ### 🧰 工具 可以帮助防止或减少 ClickFix 攻击执行的实用工具和解决方案。 | 名称 | 网站 | 备注 | |---|---|---| | Windows Defender Application Control | https://learn.microsoft.com/en-us/intune/configmgr/protect/deploy-use/use-device-guard-with-configuration-manager | Microsoft 应用程序控制解决方案，用于限制未经授权的代码执行。 | | App Control for Business and AppLocker | https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/appcontrol-and-applocker-overview | 用于应用程序允许列表和执行限制的 Microsoft 控制措施。 | | ThreatLocker | https://www.threatlocker.com | 应用程序允许列表和端点控制平台。 | | uBlock Origin | https://ublockorigin.com/ | 浏览器广告/内容拦截器，可减少接触恶意广告和重定向的风险。 | ### 🔒 缓解措施 用于降低 ClickFix 相关风险的基本安全措施。 | 名称 | 网站 | 备注 | |---|---|---| | 使用 Intune 拦截 CMD、PowerShell 和 Regedit | https://call4cloud.nl/block-cmd-powershell-regedit-intune/ | 限制常被滥用的工具的基于 Intune 的实用方法。 | | 使用 Intune 阻止访问命令提示符 | https://www.prajwaldesai.com/prevent-access-to-command-prompt-using-intune/ | 关于通过 Intune 策略阻止访问命令提示符的指南。 | | ClickGrab 缓解措施 | https://mhaggis.github.io/ClickGrab/mitigations.html | 侧重于 ClickFix 式技术的缓解指南。 | ### 🔍 检测 用于识别 ClickFix 相关活动的威胁狩猎查询和检测资源。 | 名称 | 网站 | 备注 | |---|---|---| | ClickGrab 技术 | https://mhaggis.github.io/ClickGrab/techniques.html | 概述 ClickFix 相关技术和行为。 | | ClickGrab GitHub 仓库 | https://github.com/MHaggis/ClickGrab | 针对 ClickFix 式活动的检测和研究仓库。 | | ClickFix FakeCaptcha Cloudflare | https://github.com/blwhit/ClickFix-FakeCaptcha-Cloudflare | 与虚假 CAPTCHA 式 ClickFix 活动相关的研究和检测内容。 | ### 🧬 测试 用于验证 ClickFix 防御的安全测试场景和模拟资源。 | 名称 | 网站 | 备注 | |---|---|---| | ClickFix 模拟网站 | https://www.click-fix.nl | 用于演示和验证 ClickFix 防范意识和防御的模拟网站。 | | ClickFix Builder | https://github.com/drcrypterdotru/clickfix-builder | ClickFix 构建器资源。仅在受控且经授权的测试环境中使用。 | ### 📰 新闻报道 / 博客 关于 ClickFix 活动和社会工程学技术的相关文章、博客和研究。 | 名称 | 网站 | 备注 | |---|---|---| | The Hacker News - ClickFix 活动通过新的加载器和虚假更新诱饵扩展恶意软件分发 | https://thehackernews.com/2026/06/clickfix-campaigns-expand-malware.html | ClickFix 活动正在演变为高级的恶意软件分发操作。 | | Microsoft 安全博客 - Think Before You ClickFix | https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/ | Microsoft 对 ClickFix 社会工程学技术的分析。 | ## 🎯 目标 通过分层防御、用户认知宣导和持续验证，帮助安全团队降低 ClickFix 攻击的风险。 **保持安全！🛡️ 您的剪贴板比您想象的更危险。**

标签：AI合规, AMSI绕过, IPv6, Libemu, OpenCanary, PowerShell, Windows防御, 威胁检测, 安全意识, 社会工程防御, 端点安全, 系统加固, 补丁管理