歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

如何使用RansomCoin從源碼文件中提取加密貨幣地址以及其他IoC

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿


RansomCoin
RansomCoin是一款DFIR工具,可以幫助廣大研究人員從二進制源碼文件中提取加密貨幣地址以及其他的入侵威脅指標IoC。RansomCoin支持提取的包括勒索軟件的元數據以及硬編碼的入侵威脅指標IoC,它能夠以一種可擴展的、高效的、與Cuckoo集成的形式進行數據采集,在理想情況下,它可以在Cuckoo動態分析的過程中執行,但也可以用于對大量勒索軟件**進行靜態分析。該工具運行速度非?,并且針對加密貨幣地址的誤報率非常低。除此之外,該工具針對電子郵件、URL地址、洋蔥域名以及其他域名的誤報率也比較低,但在這些方面很難做到完美。
簡而言之,如果你需要對這些貨幣化的攻擊向量進行簡單而快速的初始分類,那么RansomCoin就是你絕佳的選擇。
工具下載
廣大用戶可以直接使用下列命令將項目代碼克隆至本地:
git clone https://github.com/Concinnity-Risks/RansomCoinPublic.git
工具安裝
在使用RansomCoin之前,請確保你的主機中已安裝并配置好了Python 3環境。
Linux虛擬機
我們建議廣大安全研究人員下載并安裝一個虛擬機環境,例如VirtualBox。安裝好你的Linux虛擬機之后,請按照下列操作步驟進行配置。
切換到工具所在目錄,然后運行下列命令:
sudo apt-get install build-essential libpoppler-cpp-dev pkg-config python-dev python3-tlsh
    python3 -m pip install -r requirements.txt
請注意:如果系統提示有關pip命令的錯誤,請嘗試運行下列命令:
sudo apt-get install python3-pip
工具使用
下列命令都可以直接從項目目錄下的“Tools”文件夾中直接運行,并對該目錄下的惡意軟件樣本直接進行分析。在該目錄下運行命令可以直接掃描目錄下的所有文件,并通過TQDM提供預計完成分析的時間。在開始之前,我們需要給目錄下的Ransomware.csv文件提供可寫權限。
工具演示視頻:
Coinlector.py
運行完coinlector.py之后,腳本將會把分析結果輸出到該目錄下的一份名叫Ransomware.csv的文件之中:
python3 coinlector.py
運行下列命令即可查看分析結果:
less Ransomware.csv

功能介紹
當前版本的RansomCoin支持下列檢測因子:
-比特幣地址(BTC)
-比特幣現金地址(BCH)
-門羅幣地址(XMR)
-比特幣私鑰
-以太坊地址(ETH)
-XRP地址(XRP)
-萊特幣地址(萊特幣)
-DOGECOIN地址(DOGE)
-NEO地址(NEO)
-DASH地址(DASH)
-域名(地址)
-電子郵件地址(電子郵件)
-洋蔥地址(地址)
我們還可以通過運行下列grep命令來查看URL地址、電子郵件地址和加密貨幣地址:
less Ransomware.csv | grep URL
less Ransomware.csv | grep Email
less Ransomware.csv | grep Address
針對門羅幣地址的grep命令如下:
less Ransomware.csv | grep XMR
我們還可以通過替換上述命令中的加密貨幣名稱來搜索其他類型的檢測因子。
Tempuscoin.py
tempuscoin.py將會輸出帶時間戳的贖金交易列表,該腳本運行后將會創建一個名叫TemporalRansoms.csv的文件,其中將存儲和顯示發送和接收的比特幣地址、比特幣金額及其交易時等值的歐元和美元兌換價格。
python3 tempuscoin.py
運行下列命令即可查看分析結果:
less TemporalRansoms.csv

Eventcoin.py
這個腳本需要進行自定義修改以適用于不同的MISP實例。該腳本可以使用PyMISP來從Ransomware.csv文件中創建事件,并且同一事件組共享相同的事件名稱。默認情況下,它會創建未發布的事件,然后需要在發布之前手動添加事件的詳細信息。
項目地址
RansomCoin:【GitHub傳送門

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 北京快乐8是国家开的吗 现在能做基金配资业务的银行 浙江20选5开奖号码是多少 北京快三形态走势图和值 赛车pk10技巧 深圳风采最新开奖公告 极速快3的规律 股票推荐的 北京快3下载安装 如何投资理财才赚钱