Czr-Xploit/ClickFix_Extractor

GitHub: Czr-Xploit/ClickFix_Extractor

针对伪装为 draw.io 的 ClickFix Electron RAT 恶意活动的逆向分析、IOC 提取与感染排查工具包。

Stars: 0 | Forks: 0

# ClickFix 工具包 — draw.io Electron RAT [![TLP:WHITE](https://img.shields.io/badge/TLP-WHITE-lightgrey?style=flat-square)](https://www.cisa.gov/tlp) [![Python](https://img.shields.io/badge/Python-3.10%2B-blue?style=flat-square)](https://python.org) [![PowerShell](https://img.shields.io/badge/PowerShell-5.1%2B-blue?style=flat-square)]() [![License](https://img.shields.io/badge/License-MIT-green?style=flat-square)](LICENSE) **3 个用于分析 ClickFix 活动的脚本,该活动分发伪装为 draw.io v19.0.3 的 RAT。** ## 该活动的作用是什么? ``` 1. Página falsa de Cloudflare pide Win+R → Ctrl+V → Enter 2. PowerShell descarga e instala draw.io troyanizado desde ccudmcx[.]xyz 3. El falso draw.io envía hostname + usuario al atacante cada 65 segundos 4. El atacante puede ejecutar código o instalar más malware remotamente ``` ## 包含的脚本 | 脚本 | 用途 | |---|---| | `clickfix_deobfuscate.py` | 解码 `electron.js` 中 1015 个混淆的字符串 (RC4 + 自定义 Base64) | | `clickfix_ioc_extractor.py` | 从上述结果中提取 IOC 并生成 STIX 2.1 bundle | | `clickfix_infection_check.ps1` | 在 Windows 上检查您是否已被感染(8 项检查) | ## 快速使用 ``` # 1. 对恶意软件的 electron.js 进行 Desobfuscar python3 clickfix_deobfuscate.py electron.js # 2. 从结果中提取 IOCs(+ 样本哈希 + STIX) python3 clickfix_ioc_extractor.py \ --strings deobfuscated_strings.json \ --samples ./samples/ \ --stix # 3. 验证 Windows 设备是否已被感染 powershell -ExecutionPolicy Bypass -File clickfix_infection_check.ps1 ``` ## 已确认的 IOC ``` DOMINIOS (bloquear en DNS/proxy): dominio[.]com ← sitio de entrega (CAPTCHA falso) ccudmcx[.]xyz/u ← host del stager PowerShell ccudmcx[.]xyz/update.zip ← host del dropper ZIP chimefusion[.]com ← C2 activo (beacon cada 65s) ARCHIVOS (si existen → infectado): %LOCALAPPDATA%\UpdateApp\draw.io.exe %APPDATA%\setup.txt %LOCALAPPDATA%\Microsoft\Cache\demo.log %TEMP%\runner.ps1 REGISTRO: HKCU\...\CurrentVersion\Run → draw.io = ...UpdateApp\draw.io.exe ``` ## 完整文档 深入的技术分析位于 [`/zerotrustoffsec.com/blog/`](https://zerotrustoffsec.com/blog/)。 ## 免责声明 本工具仅供防御使用。在对系统进行分析前需获得相关授权。
标签:Base64解码, C2通信检测, CERT, ClickFix攻击, DAST, draw.io恶意软件, Electron安全, IOC提取, OpenCanary, PowerShell分析, Python安全工具, RAT分析, RC4解密, STIX 2.1, 反混淆, 威胁情报, 安全分析脚本, 库, 应急响应, 开发者工具, 恶意软件分析, 感染检测, 木马分析, 端点检测, 网络信息收集