Aggregator

研究人员发现，ClickFix攻击出现新变体：攻击者通过全屏浏览器页面展示高度逼真的Windows更新动画诱骗用户，并将恶意代码隐藏在图像文件内。

ClickFix本质是一种社会工程学攻击，其核心手法是诱使用户在Windows命令提示符中粘贴并执行特定代码或指令，最终导致恶意软件在目标系统中运行。

由于攻击成功率极高，ClickFix已被各层级网络犯罪分子广泛采用，且不断迭代进化，所用诱骗手段的技术复杂度与迷惑性也日益提升。

全屏浏览器页面的诱骗逻辑

自10月1日起，研究人员观察到ClickFix攻击的两种主要诱骗借口：一是谎称“需完成关键Windows安全更新的安装”，二是更常见的“人机验证”。

虚假更新页面会引导受害者按特定顺序按下快捷键，而这些操作会自动粘贴并执行攻击者预设的指令——此前攻击者已通过页面中运行的JavaScript代码，将恶意指令复制到用户系统剪贴板。

假的Windows安全更新屏幕

托管安全服务提供商Huntress发布的报告指出，这些ClickFix新变体最终会释放LummaC2与Rhadamanthys两款信息窃取恶意软件。

具体来看，其中一种攻击变体使用“人机验证”页面作为诱饵，另一种则依托仿冒的Windows更新界面；但无论采用哪种方式，攻击者均通过隐写术将最终的恶意软件载荷编码隐藏在图像文件中。

攻击者并非简单地将恶意数据附加到文件中，而是将恶意代码直接编码到PNG图像的像素数据内，借助特定颜色通道在内存中重构并解密恶意载荷。

恶意载荷的投递与执行流程

恶意载荷的投递始于调用Windows原生二进制文件mshta.exe，通过该程序执行恶意JavaScript代码。

整个攻击过程分为多个阶段，涉及PowerShell代码与一个.NET程序集（即“隐写加载器”Stego Loader）——后者负责将加密状态下隐藏在PNG文件中的最终恶意载荷重构出来。

在Stego Loader的清单资源中，存在一个AES加密的数据块，该数据块本质是一个隐写PNG文件，其中包含的shellcode（外壳代码）需通过自定义C#代码进行重构。

研究人员还发现，攻击者采用了一种名为“ctrampoline”的动态规避技术：入口点函数会调用10000个空函数，以此干扰安全检测。

Trampoline调用链

隐藏信息窃取恶意软件的shellcode从加密图像中提取后，会通过Donut工具进行加壳处理——该工具支持在内存中直接执行VBScript、JScript、EXE、DLL文件及.NET程序集，进一步提升攻击隐蔽性。 

脱壳完成后，Huntress研究人员成功提取出恶意软件，在此次分析的攻击案例中，涉及的正是LummaC2与Rhadamanthys。

下图直观展示了整个攻击流程的技术细节：

攻击概述

攻击溯源与执法干预

早在10月，研究人员就已发现采用“Windows更新”诱饵的Rhadamanthys攻击变体；随后在11月13日，Operation Endgame执法行动摧毁了该恶意软件的部分基础设施。

Huntress报告指出，此次执法行动的直接成效是：尽管仿冒Windows更新的恶意域名仍处于活跃状态，但已无法再投递恶意载荷。

为防范此类ClickFix攻击，研究人员建议采取两项核心防护措施：一是禁用Windows“运行”对话框；二是监控可疑进程链，例如“explorer.exe衍生出mshta.exe”或“explorer.exe衍生出PowerShell”的异常进程关系。

此外，在调查网络安全事件时，分析人员可检查“RunMRU”注册表项——该注册表项会记录用户在Windows“运行”对话框中输入过的指令，可为攻击溯源提供关键线索。

11月22日，由信息工程大学、中国科学院信息工程研究所、北京长亭科技有限公司担任召集单位的"国家一流网络安全学院院长分论坛"在河南省郑州市圆满举办。论坛以"智能时代网络安全学科发展"为主题，深入探讨新一代智能技术驱动下的学科转型与升级。

长亭科技创始人、CEO朱文雷受邀出席论坛，为与会嘉宾带来了题为《Al Secure Coding：软件安全学科演进的新方向》的主题报告，立足网安行业从象牙塔尖走出的创业成功企业家独特视角，从代码安全与人工智能创新融合的新范式入手，探讨了智能时代下的软件安全学科建设演进新方向。

从企业视角审视网络安全学科建设

AI与安全的融合方向是大势所趋

保障国家网络空间安全，筑牢人才根基是关键。作为从清华大学象牙塔尖走出的网安创业者、成功企业家，朱文雷从自身的网络安全学习经历，以及长亭科技十余年来的创业发展历程出发，结合网安产业一线业务工作体会，回顾了过去十年间，网络安全学科建设在攻防领域的可喜成果，介绍了长亭科技发端于网络攻防实战“战场”，持续拥抱智能安全的发展历程。

他表示，回顾过去十年，网络安全学科建设成功解决了“攻防实战”的基础人才问题，培养了大批掌握基础技术原理的网安从业人员。现如今，随着人工智能技术的普及，产业界已然进入AI时代，AI与安全的融合方向将是大势所趋，这昭示着网安学科建设领域即将迎来的新变革。当前，面对实际业务场景下的攻防手段“AI化”， 网络安全学科建设中的AI类课程比例还有待提高，网络安全人才培养需要向AI方向升维。 

结合长亭科技在AI+安全领域的方向布局，朱文雷介绍，当前AI与网络安全的结合方向，基本可以归纳为AI赋能安全（AI for Security）和AI自身安全（Security for AI）两大类。它们是长亭科技正在持续探索的智能安全领域，也为网络安全学科建设的AI融合方向提供了立足产业侧的专业性参考。

长亭科技创新提出AI Secure Coding

探索AI赋能下的代码安全新范式

在产业化应用方面，AI Coding可谓是目前最为热门的AI落地方向之一。朱文雷指出，AI Coding技术演进呈现出“代码补全”“智能生成”“AI工程师”三代发展轨迹，每一代都标志着生产力的重大飞跃。面向智能时代遗传性安全缺陷、过度信任危机、速度与安全的失衡、后置检查代价高昂、代码来源模糊、空心化技能依赖等多元化软件开发风险，长亭科技创新提出了AI 时代软件开发的新范式——AI Secure Coding。

AI Secure Coding深度融合智能编码与安全能力，全面覆盖AI辅助编程及Coding-Agent全自动编程等多种场景的开发与安全需求，实现“开发-扫描-修复”三位一体的全流程智能闭环。它能够突破传统"先编码后检测"的局限，通过与企业代码仓库及研发平台的无缝对接，为企业提供集智能代码生成与补全、全自动AI工程师、智能扫描修复于一体的安全开发解决方案，通过"边写边检"的工作模式，让安全检测真正融入到日常开发流程中，而不再是“亡羊补牢”。

在技术手段和效果实现方面，朱文雷对比了AI Secure Coding和传统的DevSecOps。他指出，传统DevSecOps注重工具链与流程规范，需要人工与自动化紧密结合，依赖专家编写规则、人工修复漏洞，其成本高昂且难以扩展，消耗的是“人”的精力。而AI Secure Coding的核心变革在于引入“安全原生”的理念，以机器学习模型为核心，通过训练大量安全代码库实现漏洞预测与修复建议，代码生成瞬间即完成加固，无需事后扫描，能够实现对于开发者的“无感融入”。在资源消耗方面，AI Secure Coding则呈现出“开发者友好”的特点，以“Token消耗”代替“开发者精力消耗”，以算力换质量，进行自我纠错、自动编写测试，边际成本极低。

立足国际视野，朱文雷表示，当前，国际代码安全正从"被动修复"转向"AI主动防御"。OpenAI、GitHub、Anthropic均在代码安全相关领域进行了布局，Google Project Zero 正在使用 AI 智能体发掘开源软件代码漏洞并取得显著成果共识，即“Code Security” 正从单纯的外部审计工具，转变为AI模型的原生核心能力。这意味着AI Secure Coding的理念正在逐步成为全球技术风向。

构建“大模型训练式”网安人才培养思路

擘画网安学科建设与AI时代的未来产业蓝图

从网络安全学科建设角度审视，长亭科技能够先人一步，抓住AI Secure Coding这一创新性技术风向，离不开长亭科技旗下的专业人才在高校时期日积月累的技术知识，离不开长亭科技紧随国家战略导向深耕网络安全十余年的实战化经验积淀，亦离不开资本对学生创业的大力支持以及对长亭科技技术能力和发展前景的宝贵信任。

基于此，朱文雷综合自身在清华大学的学术研究心得、第三代网络安全厂商领军企业的一线业务经验，以及作为网安行业成功企业家的独特视角，结合网络安全产业需求对实战化人才培养的期待，提出了“像训练大模型一样培养人才”的网络安全人才培养进阶思路。他建议：

在大一大二阶段，课程设置可以融入更多的AI基础与通识课程，例如AI 提示词安全工程、AI Coding 前沿实践、基础大模型应用与伦理等，以AI通识知识+网络安全基础知识筑基，打好理论基础。

在大三大四阶段，课程设置可以聚焦AI安全实战，融入AI Secure Coding 实践、基于 LLM 的代码漏洞挖掘、SAST、符号执行沙箱等进阶课程内容，实现基础理论的延展教学。

在研究生阶段，课程设置建议更多地探索前沿技术研究，例如AI与形式化验证结合 、AI 辅助开源代码治理、智能体开发安全等。这有利于结合产业痛点挖掘高价值的前沿科研课题，在学科理论研究和产业化技术知识应用之间架起桥梁，拥抱网络安全人才培养的实战化、体系化、产业化发展。

最后，朱文雷还以2025年开源安全奖励计划为例，分享了网络安全视域下的开源生态与AI“协同共舞”方面的展望。

网络空间的竞争，归根结底是人才竞争。建设网络强国，没有一支优秀的人才队伍，没有人才创造力迸发、活力涌流，是难以成功的。面向智能时代，网络安全学科演进和人才培养的机遇与挑战并存。“我们鼓励学术研究不要止步于‘用AI发现了一个Bug’，而是去研究‘AI 发现漏洞的通用模式’。发表高水平论文，探讨如何构建更智能的Agent，这正是网安学院应有的科研高度。”朱文雷最后强调。