RansomCoin 二进制中提取加密货币地址
RansomCoin是一款DFIR工具,可以帮助广大研究人员从二进制源码文件中提取加密货币地址以及其他的入侵威胁指标IoC。RansomCoin支持提取的包括勒索软件的元数据以及硬编码的入侵威胁指标IoC,它能够以一种可扩展的、高效的、与Cuckoo集成的形式进行数据采集,在理想情况下,它可以在Cuckoo动态分析的过程中执行,但也可以用于对大量勒索软件**进行静态分析。该工具运行速度非常快,并且针对加密货币地址的误报率非常低。除此之外,该工具针对电子邮件、URL地址、洋葱域名以及其他域名的误报率也比较低,但在这些方面很难做到完美。
简而言之,如果你需要对这些货币化的攻击向量进行简单而快速的初始分类,那么RansomCoin就是你绝佳的选择。
工具下载
广大用户可以直接使用下列命令将项目代码克隆至本地:
git clone https://github.com/Concinnity-Risks/RansomCoinPublic.git
工具安装
在使用RansomCoin之前,请确保你的主机中已安装并配置好了Python 3环境。
Linux虚拟机
我们建议广大安全研究人员下载并安装一个虚拟机环境,例如VirtualBox。安装好你的Linux虚拟机之后,请按照下列操作步骤进行配置。
切换到工具所在目录,然后运行下列命令:
sudo apt-get install build-essential libpoppler-cpp-dev pkg-config python-dev python3-tlshpython3 -m pip install -r requirements.txt
请注意:如果系统提示有关pip命令的错误,请尝试运行下列命令:
sudo apt-get install python3-pip
工具使用
下列命令都可以直接从项目目录下的“Tools”文件夹中直接运行,并对该目录下的恶意软件样本直接进行分析。在该目录下运行命令可以直接扫描目录下的所有文件,并通过TQDM提供预计完成分析的时间。在开始之前,我们需要给目录下的Ransomware.csv文件提供可写权限。
Coinlector.py
运行完coinlector.py之后,脚本将会把分析结果输出到该目录下的一份名叫Ransomware.csv的文件之中:
python3 coinlector.py
运行下列命令即可查看分析结果:
less Ransomware.csv
功能介绍
当前版本的RansomCoin支持下列检测因子:
-比特币地址(BTC)
-比特币现金地址(BCH)
-门罗币地址(XMR)
-比特币私钥
-以太坊地址(ETH)
-XRP地址(XRP)
-莱特币地址(莱特币)
-DOGECOIN地址(DOGE)
-NEO地址(NEO)
-DASH地址(DASH)
-域名(地址)
-电子邮件地址(电子邮件)
-洋葱地址(地址)
我们还可以通过运行下列grep命令来查看URL地址、电子邮件地址和加密货币地址:
less Ransomware.csv | grep URL
less Ransomware.csv | grep Email
less Ransomware.csv | grep Address
针对门罗币地址的grep命令如下:
less Ransomware.csv | grep XMR
我们还可以通过替换上述命令中的加密货币名称来搜索其他类型的检测因子。
Tempuscoin.py
tempuscoin.py将会输出带时间戳的赎金交易列表,该脚本运行后将会创建一个名叫TemporalRansoms.csv的文件,其中将存储和显示发送和接收的比特币地址、比特币金额及其交易时等值的欧元和美元兑换价格。
python3 tempuscoin.py
运行下列命令即可查看分析结果:
less TemporalRansoms.csv
Eventcoin.py
这个脚本需要进行自定义修改以适用于不同的MISP实例。该脚本可以使用PyMISP来从Ransomware.csv文件中创建事件,并且同一事件组共享相同的事件名称。默认情况下,它会创建未发布的事件,然后需要在发布之前手动添加事件的详细信息。
项目地址
RansomCoin:https://github.com/Concinnity-Risks/RansomCoinPublic
RansomCoin 二进制中提取加密货币地址相关推荐
- 杰富瑞主管:若BTC回落,将增加养老基金投资组合中的加密货币成分
投资银行杰富瑞(Jefferies)全球股票主管Christopher Wood近日表示,该公司将减少黄金投资,转而持有比特币.他补充说,如果比特币价格从当前水平回落,有计划增加杰富瑞以美元计价的养老 ...
- 在欧洲如何在日常生活中使用加密货币-TAP万事达卡
在欧洲如何在日常生活中使用加密货币-TAP万事达卡 加密货币在很大程度上被视为货币的一种形式,大多数狂热者认为它最终将取代当今的货币体系.尽管存在几种服务于不同目的的通证,但是他们的一个基本特性仍然是 ...
- 对冲制裁风险:央行储备中的加密货币(1-4节)
适度的制裁风险会显着增加黄金和比特币的最佳配置.如果一家中央银行无法获得足够的实物黄金来对冲其制裁风险,则最佳比特币份额会进一步上升,这表明黄金和比特币互为不完全替代品.我的结论是,制裁风险可能会削弱 ...
- 世界顶级大学中斯坦福大学开设最多的加密货币相关课程
点击上方"蓝色字"可关注我们! 暴走时评:Coinbase最近与研究公司Qriously合作进行了一项研究,研究表明,斯坦福大学开设的加密货币相关课程最多.在高等教育中,加密货币相 ...
- php 余额冻结设计_加密货币交易所:微服务架构设计
本文介绍一个实际开发并上线的加密货币交易所项目的逻辑架构设计,其中包括撮合服务.做市服务.用户服务.市场数据服务.钱包服务.报表服务等核心组件,并采用了基于AKKA集群的微服务架构. 加密交易所的逻辑 ...
- 烤仔看世界 | 后苏联时代隐秘的加密货币繁荣(下)
烤仔看世界 烤仔将通过翻译海外权威媒体.作者们有趣.有料的文章,与你分享区块链.金融.科技等行业的逸闻趣事,为你定格全世界的精彩.来和烤仔一起涨姿势,看世界吧! 作者: 汉娜·露辛达·史密斯(Hann ...
- 一文读懂美国加密货币行业
本文作者coinbase,由"蓝狐笔记"社区的"TK"翻译. 前言:美国是区块链技术发展最快的国家之一,也是加密行业最重要的版图之一.从普通用户角度,美国加密行 ...
- 《Nodejs开发加密货币》之十九:签名和多重签名
前言 加密货币是一种数字资产,随着区块链等相关技术的创新和突破,很多有形或无形资产实现了去中心化.比如我们这里分享的 亿书 就是要把数字出版物版权进行保护,实现去中心化,解决业界多年来版权保护不力的难 ...
- 用加密货币连接业务的6种方法
如今,区块链技术和加密货币已经变得更加接近传统业务.在某些情况下,商人们能够找到一种将传 统商业与新技术相结合的有价值的模式.事实上,进入加密货币市场有很多选择,本文将讨论6种主 要的合作方式. 创建 ...
最新文章
- oracle双机切换 无法挂载,Linux下Oracle RAC一个节点宕机导致共享存储无法挂载的故障排除...
- 数据库db_files参数增大怎么办
- 工信部印发《信息安全产业“十二五”发展规划》
- 关于ListView的作业
- 交换两个变量的值(三种方式、完整代码)
- Spring Security3
- 百度ueditor编辑器控制图片在编辑框中的大小
- 俄勒冈州立大学研发脱口秀机器人,全美巡演数十场获好评
- swing-组件Collapse折叠面板2
- 从外包公司到今日头条offer,吐血整理
- 电脑显示请检查映像服务器,该任务映像已损坏或已篡改的解决方法
- iPhone12充电头怎么选
- cacti监控服务器性能,监控三剑客之Cacti监控服务器
- 斐波那契问题——上台阶问题
- mysqlbug日记
- Hadoop HIPI
- 小程序picker标题_微信小程序实现自定义picker选择器弹窗内容
- java 打印数组数字,Java数组打印出奇怪的数字和文本
- java下载mp3_Java如何利用url下载MP3保存到本地?
- 仿ios桌面vivo_vivo精仿ios11主题包专属版下载-vivo精仿ios11主题包自定义版v2.9.9安卓版-007游戏网...
热门文章
- 分层设计与领域设计融合架构设计
- Openstack Nova 源码分析 — 使用 VCDriver 创建 VMware Instance
- DIY三通道程控直流电源
- AMBA、AHB、APB、AXI总线介绍和对比
- Altium Designer铺铜时抠铜
- [ Nowcoder Contest 165 #D ] 合法括号序列
- 《中国人工智能学会通讯》——12.38 知识库与 HTML 表格的融合
- [每日一题] OCP1z0-047 :2013-08-17 EXTERNAL TABLE――加载数据 ............................56...
- c#之旅--第六天(类,对象,方法)
- Facebook的「下一代 AI 计算平台」长什么样子?