探秘DOUBLEPULSAR SMB植入体：解密C2流量的Python脚本

作者：Luke Jennings（luke.jennings@countercept.com - @jukelennings） 公司：Countercept (@countercept) 网站：https://countercept.com

在网络安全研究中，对恶意软件通讯的理解至关重要。今天，我们向大家推荐一款由Countercept团队开发的独特工具——一个用于从PCAP文件中解密DOUBLEPULSAR SMB植入体使用的C2（Command & Control）流量的Python脚本。这个脚本利用了简单的4字节异或加密，并且可以从首次非ping包中的SESSION_SETUP参数中直接揭示XOR密钥，从而解密所有流量。

项目介绍

这是一个早期版本的项目，它依赖于网络包中的特定组件来工作，并已针对DLL注入功能进行了测试。理想情况下，应提供只包含单个命令的PCAP文件来获得最佳结果。项目内附有一个用于测试的PCAP文件，该文件是在目标机器上通过DLL注入命令将标准Windows DLL wininet.dll 注入到运行的calc.exe进程中捕获的。解密后的输出也存储在仓库中，包含了4885字节的shellcode和与wininet.dll逐字节匹配的内容。

技术分析

脚本的核心是基于一个事实，即在初始的非ping包中存在连续四个零字节，这使得我们可以轻松提取出解密所需的XOR密钥。Python-pcapng库是该项目的一个关键依赖，它允许我们处理和解析PCAPNG格式的数据包捕获文件。

使用方法简单，只需安装python-pcapng库并通过命令行调用decrypt_doublepulsar_traffic.py脚本：

root@kali:~# pip install python-pcapng
root@kali:~# python decrypt_doublepulsar_traffic.py --pcapng inject-dll-wininet-into-calc.pcapng --output decrypted_data.bin

应用场景

对于网络安全研究人员和渗透测试人员来说，这款工具可以帮助他们深入理解DOUBLEPULSAR攻击的方法和手段。它可以用于分析受感染系统的C2通信，揭示潜在的恶意活动，甚至可能帮助研究人员发现新的漏洞和对抗策略。

此外，它还为教育和训练提供了实用案例，让学生和专业人士能够亲自实践如何解析复杂的恶意软件通信。

项目特点

1. 简单高效：利用易识别的网络包特征进行解密。
2. 针对性强：专注于解密DOUBLEPULSAR SMB植入体的C2流量。
3. 可扩展性：虽然目前仅测试于DLL注入功能，但其基本原理可能适用于其他类似加密方式的恶意软件。
4. 易于使用：依赖项明确，命令行接口简洁明了。

如果你热衷于网络安全研究，或者希望深入了解DOUBLEPULSAR的运作机制，那么这款工具无疑是一个不可多得的资源。立即尝试并加入我们的行列，探索网络世界的隐蔽角落。