网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

办公软件团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 工具 > 办公软件 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

RansomCoin:DFIR工具,可对货币化攻击向量进行简单快速的初始分类,从二进制源文件中提取加密货币地址和其他入侵威胁指标IoC

文章来源:重庆软件开发 发布时间:2020-01-31 11:34:25 围观次数:
分享到:

摘要:RansomCoin:DFIR工具,可对货币化攻击向量进行简单快速的初始分类,从二进制源文件中提取加密货币地址和其他入侵威胁指标IoC

RansomCoin是DFIR工具,可以帮助研究人员从二进制源文件中提取加密货币地址和其他入侵威胁指标IoC。  RansomCoin支持提取的元数据,包括勒索软件和硬编码的入侵威胁指标IoC。 它可以通过Cuckoo以可扩展,高效和集成的形式收集数据。 在分析过程中执行,但也可以用于大量勒索软件**的静态分析。 该工具运行速度非常快,对于加密货币地址的误报率非常低。 此外,该工具对电子邮件,URL地址,洋葱域名和其他域名的误报率相对较低,但是在这些方面很难做到完美。


  简而言之,如果您需要对这些货币化攻击媒介进行简单快速的初始分类,RansomCoin是您的理想选择。


  工具下载

  用户可以使用以下命令将项目代码直接克隆到本地:


  git clone https://github.com/Concinnity-Risks/RansomCoinPublic.git

  工具安装

  使用RansomCoin之前,请确保在主机上安装并配置了Python 3环境。


  Linux虚拟机

  我们建议大多数安全研究人员下载并安装虚拟机环境,例如VirtualBox。 安装Linux虚拟机后,请按照以下步骤进行配置。


  转到工具所在的目录,然后运行以下命令:


  sudo apt-get install build-essential libpoppler-cpp-dev pkg-config python-dev python3-tlsh


 python3 -m pip install -r requirements.txt


  如果系统提示有关pip命令的错误,请尝试运行以下命令:


  sudo apt-get install python3-pip

  工具使用

  可以从项目目录中的“Tools”文件夹直接运行以下命令,并且可以直接分析此目录中的恶意软件样本。 在此目录中运行命令可以直接扫描目录中的所有文件,并提供估计的时间以通过TQDM完成分析。 在开始之前,我们需要提供目录中Ransomware.csv文件的写入权限。


Coinlector.py

  运行coinlector.py之后,脚本会将分析结果输出到此目录中名为Ransomware.csv的文件中:


  python3 coinlector.py

  运行以下命令以查看分析结果:


  less Ransomware.csv

image.png

  当前版本的RansomCoin支持以下检测因素:


  -比特币地址(BTC)


  -比特币现金地址(BCH)


  -门罗币地址(XMR)


  -比特币私钥


  -以太坊地址(ETH)


  -XRP地址(XRP)


  -Litecoin地址(Litecoin)


  -DOGECOIN地址(DOGE)


  -NEO地址(NEO)


  -DASH地址(DASH)


  -域名(地址)


  -电子邮件地址(电子邮件)


  -洋葱地址(地址)


  我们还可以通过运行以下grep命令来查看URL地址,电子邮件地址和加密货币地址:


  less Ransomware.csv | grep URL


less Ransomware.csv | grep Email


less Ransomware.csv | grep Address


  用于门罗币地址的grep命令如下:


  less Ransomware.csv | grep XMR

  我们还可以通过替换以上命令中的cryptocurrency名称来搜索其他类型的检测因素。


  Tempuscoin.py

  tempuscoin.py将输出带有时间戳的赎金交易列表。 运行脚本后,它将创建一个名为TemporalRansoms.csv的文件。 


  python3 tempuscoin.py

  运行以下命令以查看分析结果:


  less TemporalRansoms.csv

image.png

Eventcoin.py

  此脚本需要自定义修改才能与不同的MISP实例一起使用。 该脚本可以使用PyMISP从Ransomware.csv文件创建事件,并且相同的事件组共享相同的事件名称。 默认情况下,它会创建未发布的事件,然后需要在发布之前手动添加事件详细信息。


本文由 重庆软件开发 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:RansomCoin DFIR工具 货币化攻击向量 初始分类 二进制源文件 加密货币地址 入侵威胁指标IoC 重庆软件开发

上一篇:结合不同软件、不同行业学习办公软件的侧重点不同
下一篇:Socialscan:社交帐户搜索工具,支持查询电子邮件地址和用户名,asyncio和aiohttp同时执行所有查询

热门资讯

鼠标向下滚动