文章总结： 本文披露KongTuke组织升级ClickFix攻击技术，利用DNSTXT记录存储并检索恶意PowerShell指令，有效规避HTTP流量检测。攻击者诱导用户粘贴脚本，通过DNS查询获取载荷并在内存中执行，导致RAT植入。建议阻断新注册域名，并监控异常DNS流量与PowerShell日志以防御此类无文件攻击。 综合评分： 82 文章分类： 威胁情报,社会工程学,恶意软件,终端安全,网络安全

攻击者在ClickFix脚本中使用DNS TXT记录执行Powershell命令

小金星 小金星

船山信安

2026年2月6日 07:05 广东

随着KongTuke战役的复杂演变，网络安全形势变得更加严峻。自2025年中期开始活跃以来，该威胁执行组织不断改进其技术，以绕过传统的企业安全过滤器。

他们的主要武器仍然是点击修复策略，这是一种社会工程手段，欺骗毫无戒心的用户手动修复模拟的网站错误。

在这些攻击中，受害者会在被入侵的合法网站上遇到虚假的浏览器故障或验证码。

欺骗性的指令会提示用户复制恶意脚本，并直接将其粘贴到Windows Run对话框或PowerShell终端中。

这种自我感染的方法利用用户自身的系统权限来执行未经授权的代码，有效地绕过了自动下载保护。

然而，技术间谍技术的显著升级最近浮出水面。第42单元的分析人员发现，最新的KongTuke迭代现在使用DNS TXT记录来隐藏他们的下一个阶段。

最初的脚本不是通过HTTP访问标记的web服务器，而是查询看起来合法的域名DNS记录，从记录中检索恶意的过渡指令。

对于依赖标准HTTP流量分析的防御者来说，这种方法大大增加了检测的复杂度。

通过在DNS响应中嵌入有效载荷，攻击者将其恶意流量与互联网解析恒定的背景噪声无缝融合。

最终目标仍然是部署严重的恶意软件，通常导致安装联锁远程访问木马或其他网络内的持续性威胁。

DNS TXT暂存机制

技术创新在于有效载荷检索机制。当受害者执行初始的ClickFix片段时，它不会立即下载文件。

相反，它会触发一个PowerShell命令，对特定的TXT记录执行DNS查找。

这些记录通常用来保存用于域验证的文本信息，包含用于获取和执行最终有效载荷的暂存命令字符串。

安全控制通常允许DNS通信自由，以确保连通性，从而创建一个危险的盲区。

该脚本解析DNS响应中的文本，并在内存中执行它，在磁盘上留下最少的痕迹。

这种无文件的检索允许孔图克战役保持低姿态，同时在妥协的端点上建立持久性。

建议包括阻断新注册的域，验证异常的DNS流量，严格监控可疑的DNS查找命令的PowerShell执行日志。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 小金星 小金星《攻击者在ClickFix脚本中使用DNS TXT记录执行Powershell命令》