Elastic 安全实验室

QBOT 配置提取器

用于 QBOT 恶意软件的配置提取工具

2 分钟阅读工具
QBOT Configuration Extractor

用于从 QBOT 样本中提取配置的 Python 脚本。

下载 qbot-config-extractor.tar.gz

入门指南

此工具提供了一个 Python 模块和命令行工具,可从 QBOT 恶意软件样本中提取配置并将结果转储到屏幕。

有关 QBOT 攻击模式和恶意软件分析的信息,请查看我们详细介绍此内容的博客文章

Docker

我们可以使用 Docker 轻松运行提取器,首先我们需要构建镜像

docker build . -t qbot-config-extractor

然后,我们使用 -v 标志运行容器,将主机目录映射到 docker 容器目录

docker run -ti --rm -v \
"$(pwd)/data":/data qbot-config-extractor:latest -d /data/

我们可以使用 -f 选项指定单个样本,也可以使用 -d 指定样本目录。

$ docker run -ti --rm -v $(pwd)/data:/data qbot-config-extractor:latest -f data/c2ba065654f13612ae63bca7f972ea91c6fe97291caeaaa3a28a180fb1912b3a

=== Strings ===
# Blob address: 0x100840a0
# Key address: 0x10084040
[0x0]: ProgramData
[0xc]: /t4
[0x10]: EBBA
[0x15]: netstat -nao
[0x22]: jHxastDcds)oMc=jvh7wdUhxcsdt2
[0x40]: schtasks.exe /Create /RU "NT AUTHORITY\SYSTEM" /SC ONSTART /TN %u /TR "%s" /NP /F

...truncated...

=== RESOURCE 1 ===
Key: b'\\System32\\WindowsPowerShel1\\v1.0\\powershel1.exe'
Type: DataType.DOMAINS
41.228.22.180:443
47.23.89.62:995
176.67.56.94:443
103.107.113.120:443
148.64.96.100:443
47.180.172.159:443
181.118.183.98:443

...truncated...

在本地运行

如上所述,Docker 是运行此项目的推荐方法,但您也可以在本地运行。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则从该目录中,只需运行以下命令即可运行该工具。这将设置一个虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。

poetry lock
poetry install
poetry shell
qbot-config-extractor -h

完成此操作后,您可以执行与上述 Docker 说明中提到的类似的操作。