用于从 QBOT 样本中提取配置的 Python 脚本。
下载 qbot-config-extractor.tar.gz
入门指南
此工具提供了一个 Python 模块和命令行工具,可从 QBOT 恶意软件样本中提取配置并将结果转储到屏幕。
有关 QBOT 攻击模式和恶意软件分析的信息,请查看我们详细介绍此内容的博客文章
Docker
我们可以使用 Docker 轻松运行提取器,首先我们需要构建镜像
docker build . -t qbot-config-extractor
然后,我们使用 -v 标志运行容器,将主机目录映射到 docker 容器目录
docker run -ti --rm -v \
"$(pwd)/data":/data qbot-config-extractor:latest -d /data/
我们可以使用 -f 选项指定单个样本,也可以使用 -d 指定样本目录。
$ docker run -ti --rm -v $(pwd)/data:/data qbot-config-extractor:latest -f data/c2ba065654f13612ae63bca7f972ea91c6fe97291caeaaa3a28a180fb1912b3a
=== Strings ===
# Blob address: 0x100840a0
# Key address: 0x10084040
[0x0]: ProgramData
[0xc]: /t4
[0x10]: EBBA
[0x15]: netstat -nao
[0x22]: jHxastDcds)oMc=jvh7wdUhxcsdt2
[0x40]: schtasks.exe /Create /RU "NT AUTHORITY\SYSTEM" /SC ONSTART /TN %u /TR "%s" /NP /F
...truncated...
=== RESOURCE 1 ===
Key: b'\\System32\\WindowsPowerShel1\\v1.0\\powershel1.exe'
Type: DataType.DOMAINS
41.228.22.180:443
47.23.89.62:995
176.67.56.94:443
103.107.113.120:443
148.64.96.100:443
47.180.172.159:443
181.118.183.98:443
...truncated...
在本地运行
如上所述,Docker 是运行此项目的推荐方法,但您也可以在本地运行。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则从该目录中,只需运行以下命令即可运行该工具。这将设置一个虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。
poetry lock
poetry install
poetry shell
qbot-config-extractor -h
完成此操作后,您可以执行与上述 Docker 说明中提到的类似的操作。