用于从 EMOTET 样本中提取有效载荷的 Python 脚本。
下载 emotet-configuration-extractor.tar.gz
有关 EMOTET 恶意软件的信息,请查看以下资源
入门
Docker
建议使用 Docker,这是最简单的方法。从该 README 所在的目录中,您可以构建一个本地容器。
docker build . -t emotet-config-extractor然后,我们使用 -v 标志运行容器,将主机目录映射到 docker 容器目录。
docker run -ti --rm -v $(pwd)/data:/data emotet-config-extractor:latest --help在本地运行
如上所述,建议使用 Docker 来运行此项目,但您也可以在本地运行。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则可以从该目录中简单地运行以下命令来运行该工具。这将设置虚拟环境,安装依赖项,激活虚拟环境并运行控制台脚本。
poetry lock
poetry install
poetry shell
emotet-config-extractor --help使用方法
所有样本在尝试提取之前都需要解包。
我们的提取器采用带有 -d 选项的样本目录或 -f 用于单个样本,然后可以输出配置中需要注意的部分,特别是
- -k:提取加密密钥
- -c:提取 C2 信息
- -s:提取宽字符字符串
- -a:提取 ASCII 字符字符串
docker run -ti --rm -v $(pwd)/data:/data emotet-config-extractor:latest -d "C:\tmp\samples"您可以从运行提取器时设置的目录中收集提取的配置。