Browse By

RansomCoin – Uma ferramenta DFIR para extrair endereços de criptocoin

Extrair metadados e indicadores de comprometimento codificados do ransomware, de maneira escalável e eficiente com integrações de cuco. Idealmente, ele é executado durante a análise dinâmica do cuco, mas também pode ser usado para análises estáticas em grandes coleções de ransomware. Projetado para ser rápido, com baixo falso positivo para endereços de criptomoeda . Positivos falsos limitados para e-mails, URLs, cebolas e domínios (o que é bastante difícil de aperfeiçoar).
Em resumo, essa triagem inicial é rápida e fácil se você deseja apenas vetores de monetização. Instruções de instalação Verifique se você tem o Python3 instalado. Em uma máquina virtual Linux . Instale sua máquina virtual Linux desejada


é aconselhável baixar e instalar um virtualizador como o VirtualBox(ou seja, Lubuntu, Kali Linux, etc), siga as instruções abaixo.
Na pasta ferramentas:

sudo apt-get install build-essential libpoppler-cpp-dev pkg-config python-dev python3-tlsh
python3 -m pip install -r requirements.txt

Nota: Se você receber um erro dizendo Nenhum módulo chamado pip, tente executar

sudo apt-get install python3-pip

Instruções de uso
Está disponível um vídeo tutorial: https://youtu.be/3pUDh5HvqVI
Os seguintes comandos podem ser executados na pasta “Ferramentas” para analisar amostras de malware localizadas neste diretório. Isso executará o código em todos os arquivos no diretório e fornecerá um feedback sobre o tempo estimado para conclusão via TQDM. Você precisará de acesso de gravação para um arquivo chamado Ransomware.csv no diretório em que está trabalhando (que contém os resultados). No entanto, deve ser possível executar o código nos arquivos de malware somente leitura, para que apenas o Ransomware.csv precise de acesso de gravação.

Coinlector.py
Após executar o coinlector.py, os resultados são gerados em um arquivo no mesmo diretório chamado Ransomware.csv

python3 coinlector.py

Veja os resultados executando

less Ransomware.csv

Atualmente, estamos testando para:

  • Endereços de Bitcoin (BTC)
  • Endereços de Caixa Bitcoin (BCH)
  • Endereços Monero (XMR)
  • Chaves Privadas de Bitcoin
  • Endereços Ethereum (ETH)
  • Endereços de ondulação (XRP)
  • Endereços LTC (LTC)
  • Endereços DOGECOIN (DOGE)
  • Endereços NEO (NEO)
  • Endereços DASH (DASH)
  • Domínios (Endereço)
  • Endereços de email (email)
  • Endereços de cebola (endereço)

Veja URLs, endereços de email e endereços de criptomoeda executando os seguintes comandos grep.

less Ransomware.csv | grep URL
less Ransomware.csv | grep Email
less Ransomware.csv | grep Address

Grep para endereços Monero executando

less Ransomware.csv | grep XMR

O mesmo comando pode ser usado para procurar outras criptomoedas usando as abreviações da lista acima.

Tempuscoin.py
tempuscoin.py gera uma lista de transações de resgate com registro de data e hora. O arquivo TemporalRansoms.csv é criado mostrando os endereços de envio e recebimento de Bitcoin, o valor em BTC e seu valor equivalente em EUR, USD no momento da transação.

python3 tempuscoin.py

Veja os resultados executando.

less TemporalRansoms.csv

Eventcoin.py
Esse código provavelmente precisará ser alterado para se tornar utilizável com sua própria instância MISP. Ele usa o PyMISP para criar eventos a partir do arquivo Ransomware.csv, e grupos de eventos compartilham o mesmo nome. O padrão é criar eventos que não são publicados e, em seguida, adicionar detalhes manualmente antes da publicação. YMMV.

Baixar RansomCoin

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.