用于从 NETWIRE 样本中提取有效负载的 Python 脚本。
下载 netwire-configuration-extractor.tar.gz
有关 NETWIRE 恶意软件的信息,请查看以下资源
开始使用
Docker
建议且最简单的方法是使用 Docker。从本 README 所在的目录中,您可以构建一个本地容器。
docker build . -t netwire_loader_config_extractor然后,我们使用 -v 标志运行容器,将主机目录映射到 Docker 容器目录。
docker run -ti --rm -v $(pwd)/data:/data netwire_loader_config_extractor:latest --help在本地运行
如上所述,Docker 是运行此项目的推荐方法,但您也可以在本地运行。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则可以从该目录中简单地运行以下命令来运行该工具。这将设置一个虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。
poetry lock
poetry install
poetry shell
netwire-config-extractor --help用法
所有样本在尝试执行提取之前都需要解压缩。
我们的提取器可以使用 -d 选项处理样本目录,也可以使用 -f 处理单个样本,然后可以输出配置中的一些值得注意的部分,特别是
- -k:提取加密密钥
- -c:提取 C2 信息
- -s:提取宽字符字符串
- -a:提取 ASCII 字符字符串
docker run -ti --rm -v $(pwd)/data:/data netwire_loader_config_extractor:latest -d "C:\tmp\samples"您可以从运行提取器时设置的目录中收集提取的配置。