前言

  一个用于从SideWinder APT组织常用的hat文件中解密C2链接地址的Python脚本,示例代码对一些老的hat文件效果比较好,新的样本可能需要根据实际情况修改下,最初是用于对VT上命中的大量样本进行批量提取C2地址用的

示例代码

# -*- coding: utf-8

import base64

import re

import sys

def myXor(key, data):

    out = ""

    i = 0

    datalen = len(data)

    while i < datalen:

        for j in range(len(key)):

            tmp = ord(data[i]) ^ ord(key[j])

            out += chr(tmp)

            i += 1

            if i >= len(data):

                break

    return out

def myBase64Decode(key, string):

    #某些情况下会出问题:“asEqf170rcEU” -> “|abx|oeq” -> 正确结果应该是“|abx|oeq|”

    result = []

    string = string.strip("=")

    binstr = ""

    bin6list = []

    bin8list = []

    #key = "JXaYOjSNTet1dDrHsVlc0m5EknG7Ko6qibhFBuyzQUwxWCp4ZLf23gAvMR8PI9+/"

    for ch in string:

        bin6list.append("{:>06}".format(str(bin(key.index(ch)).replace("0b", ""))))

    binstr = "".join(bin6list)

    for i in range(0, len(binstr), 8):

        bin8list.append(binstr[i:i + 8])

    for item in range(len(bin8list) - 1):

        result.append(chr(int(bin8list[item], 2)))

    return "".join(result)

def myBase64Decode2(key, string):

    STANDARD_ALPHABET = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'

    CUSTOM_ALPHABET = key

    ENCODE_TRANS = str.maketrans(STANDARD_ALPHABET, CUSTOM_ALPHABET)

    DECODE_TRANS = str.maketrans(CUSTOM_ALPHABET, STANDARD_ALPHABET)

    return base64.b64decode(string.translate(DECODE_TRANS))

def myGetb64(data):

    b64 = re.search("var b64 = \"(.+)\";", data).group(1)

    return b64

def myGetkeeeeKey(data):

    keeee = re.search("var keeee = .+?\(\"(.+)\",", data).group(1)

    return keeee

def myGetkeeeeData(data):

    keeee = re.search("var keeee = .+\((.+)\)\);", data).group(1)

    keeee = keeee.replace("\"+\"", "")

    keeee = keeee.replace("\"", "")

    return keeee

def myGetkeeee(data):

    key = myGetkeeeeKey(data)

    str = myGetkeeeeData(data)

    keeee = bytes.decode(myBase64Decode2(b64, str))

    return myXor(key, keeee)

def myGetaUrl(data):

    url = re.search("var aUrl = .+?\((.+)\)\+x;", data).group(1)

    url = url.replace("\"+\"", "")

    url = url.replace("\"", "")

    return url

def myDecodeUrl(keeee, data):

    return myXor(keeee, data)

if __name__ == '__main__':

    if 1 >= len(sys.argv):

        print("输入文件路径参数后重试")

        exit(1)

    try:

        f = open(sys.argv[1], 'r')

        data = f.read()

        f.close()

        b64 = myGetb64(data).replace("=", "")

        keeee = myGetkeeee(data)

        encodeUrl = myGetaUrl(data)

        strurl = bytes.decode(myBase64Decode2(b64, encodeUrl))

        url = myDecodeUrl(keeee, strurl)

        print(url)

    except:

        print("文件不支持或其它错误:(")

感兴趣的小伙伴可以根据样本自己修改下

3e14d22a63775a59878a71d80ea17bfd

4dc475b2055b5a880cbd67526b0f6e3c

94ae178768482ead9b0c0612325a9eeb

354a7e51b5ae982ce24b588c12f34ae1

884e404b0d8b34e98f90809909171e90

1333fb41972e81a99ada7e2df5ba014f

69737cb11c6596298a5bf1958f5d1ad3

484214759657cc28daa61de086d526f2

ca90bf0bc5771caf82f991641b316562

f158bffa5f876619aa745e23a2800c9d

【APT】响尾蛇(SideWinder)Hta文件自动解密C2的更多相关文章

  1. 文件自动备份和同步bypy和syncthing

    http://blog.csdn.net/pipisorry/article/details/52464402 Linux定时备份数据到百度云盘 sudo pip3 install requestss ...

  2. 速战速决 (5) - PHP: 动态地创建属性和方法, 对象的复制, 对象的比较, 加载指定的文件, 自动加载类文件, 命名空间

    [源码下载] 速战速决 (5) - PHP: 动态地创建属性和方法, 对象的复制, 对象的比较, 加载指定的文件, 自动加载类文件, 命名空间 作者:webabcd 介绍速战速决 之 PHP 动态地创 ...

  3. CocoaPods 导入第三方库头文件自动补齐

    使用了一段时间CocoaPods来管理Objective-c的类库,方便了不少.但是有一个小问题,当我在xcode输入import关键字的时候,没有自动联想补齐代码的功能,需要手工敲全了文件名,难以适 ...

  4. Code笔记之:对使用zend加密后的php文件进行解密

    对使用zend加密后的php文件进行解密 使用zend加密后的php文件用notpad++打开会出现类似的乱码 下面使用解密工具进行解密 http://pan.baidu.com/s/1i3n4ysX ...

  5. linux环境下给文件加密/解密的方法

      原文地址:linix环境下给文件加密/解密的方法 作者:oracunix 一. 利用 vim/vi 加密:优点:加密后,如果不知道密码,就看不到明文,包括root用户也看不了:缺点:很明显让别人知 ...

  6. 为js和css文件自动添加版本号

    web应用必然要面对缓存问题,无论前台后台都会涉足缓存.特别是对于前端而言,缓存利用的是否得当直接关系到应用的性能. 通常情况下,我们会倾向于使用缓存,因为缓存一方面可以减少网络开销,一方面可以减轻服 ...

  7. ◆linux分区的加密与自动解密◆——Super孟再创辉煌

    首先制作分区的加密挂载: 分区的自动解密:

  8. gulp下livereload和webserver实现本地服务器下文件自动刷新

    一.前言 node从v0.10.26升级(为了匹配autoprefixer)到v5.3.0后出现了gulp插件兼容问题,在nodejs下各种新的插件出现问题,需要重新配置.livereload实现ch ...

  9. CVS 文件自动移 tag 的 Python 脚本

    CVS 文件自动移 tag 的 Python 脚本 背景 工作中使用的版本管理工具是 CVS,在两次发布中,如果修改的文件比较少,会选择用移 Tag 的方式来生成一个新 Tag 发布.文件比较少的情况 ...

  10. CocoaPods导入第三方库头文件自动补齐

    使用了一段时间CocoaPods来管理Objective-c的类库,方便了不少.但是有一个小问题,当我在xcode输入import关键字的时候,没有自动联想补齐代码的功能,需要手工敲全了文件名,难以适 ...

随机推荐

  1. (0319) uvmgen的使用,产生的UVM环境介绍

    qq https://blog.csdn.net/hh199203/article/details/118210541

  2. SCI、SSCI、EI、北大中文核心期刊、CSCD、CSSC、SCD、CSSCI 扩展版、计算机软件著作权

    https://zhidao.baidu.com/question/308484724.html SCI(科学引文索引).EI(工程索引).ISTP(科技会议录索引)是世界著名的三大科技文献检索系统, ...

  3. 记录一次antd升级到最新版本,与现有代码冲突导致的问题

    背景:发版的前一夜,测试突然发现项目某个功能点击弹框会导致整个页面直接空白,立即提了个单要我赶紧修复.(内心真是一万个卧槽)本来准备不加班的.没办法,那只能解决.第一步就怀疑是不是谁动了代码,毕竟一两 ...

  4. debian11 bspwm+polybar问题记录(siji字体无法正常显示)

    一.siji字体无法显示. 很懒很菜,就想用开箱即用的原始配置依然遇到了问题...plybar中的bitmap字体siji无法正常显示.即便按照github的siji官方脚本安装了siji字体还是不行 ...

  5. 尝试window10系统下使用appuim获取ios元素

    一般来说搞iOS手机的APP自动化需通过Mac电脑,但当前APP出图自动化测试平台是基于windows系统环境开发.如果因iOS APP需要再重新搭建Mac的开发及测试环境,会很大程度上浪费资源,增加 ...

  6. 解决linux多网卡线路选择----windows arp绑定

    1.arp -a 查看所有arp状态,有静态和动态 2.临时绑定ip和MACarp -s IP MAC //MAC用-分割 3.使用netsh做永久绑定a) 查看接口序号(Idx):netsh i i ...

  7. Jenkins自动化部署(linux环境)---执行脚本

    1.安装node插件 2.node全局配置 3.填写jenkins构建时执行的shell脚本 完整命令 node -v npm install rm -rf ./dist/* npm run buil ...

  8. SVD动态图

    library(gganimate) library(gifski) # 构造数据 phi<-pi/6 theta<-pi/3 c<-matrix(c(cos(phi),sin(ph ...

  9. WinForm嵌入Web网站

    1.安装CefSharp 2.GetMac()获取用户mac地址方法 3.根据错误提示新建CEFKeyBoardHander.cs form1.cs using CefSharp; using Cef ...

  10. sqlalchemy 数据类型