读写、内存操作、编码转换等辅助功能WifiWi-Fi 凭据窃取导出保存的 Wi-Fi 网络名称和密码（netsh wlan export）WinScpWinSCP 凭据窃取解析 WinSCP INI 配置文件，提取 SFTP/FTP 凭据ZipManagerZIP 压缩将窃取数据打包为加密 ZIP（密码由 GenerateRandomData 生成）
8. C2 配置解密

配置解密

8.1 加密机制
算法：AES-256-CBCKDF：PBKDF2(SHA1, salt, 1000)密钥/盐：硬编码在 StringsCrypt 类中
8.2 Python 解密脚本
复制代码 隐藏代码import base64from cryptography.hazmat.primitives import hashesfrom cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMACfrom cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modesimport sys# === 从 StringsCrypt 类中提取的硬编码数据 ===CRYPT_KEY = bytes([59, 38, 75, 70, 33, 77, 33, 104, 56, 94,105, 84, 58, 60, 41, 97, 63, 126, 109, 88,101, 78, 42, 126, 111, 63, 103, 78, 91, 118,64, 114, 81, 61, 66])SALT_BYTES = bytes([102, 51, 111, 51, 75, 45, 49, 49, 61, 71,45, 78, 55, 86, 74, 116, 111, 122, 79, 87,82, 114, 61, 40, 116, 78, 90, 66, 102, 75,43, 98, 83, 55, 70, 121])# === 加密的配置值（从 Config 类复制）===ENCRYPTED_VALUES = {"SmtpServer": "wWT3WS7EbPWc6s4M65ESWElcwtZcx5jJu6kl0xx2Yg8=","SmtpSender": "uZqIJiL9lOhy02a3zALh29rCp2zHQIv/oNg0887hb5o=","SmtpPassword": "s53zFyH1h548tsJUnMGdLw==","SmtpReceiver": "uZqIJiL9lOhy02a3zALh29rCp2zHQIv/oNg0887hb5o="}def decrypt_config(encrypted_b64: str) -> str:# 1. Base64 解码密文ciphertext = base64.b64decode(encrypted_b64)# 2. 使用 PBKDF2 生成密钥和 IVkdf = PBKDF2HMAC(algorithm=hashes.SHA1(),# .NET 的 Rfc2898DeriveBytes 默认用 SHA1length=32 + 16,# 32字节密钥 + 16字节IVsalt=SALT_BYTES,iterations=1000,)key_iv = kdf.derive(CRYPT_KEY)key = key_iv[:32]# AES-256 密钥iv = key_iv[32:48]# CBC 模式 IV (16字节)# 3. AES-CBC 解密cipher = Cipher(algorithms.AES(key), modes.CBC(iv))decryptor = cipher.decryptor()plaintext = decryptor.update(ciphertext) + decryptor.finalize()# 4. 移除 PKCS7 填充pad_len = plaintext[-1]if pad_len < 1 or pad_len > 16:raise ValueError("Invalid padding")plaintext = plaintext[:-pad_len]return plaintext.decode('utf-8')# === 解密并输出结果 ===print("🔍 正在解密 SMTP C2 配置...n")try:for name, encrypted in ENCRYPTED_VALUES.items():decrypted = decrypt_config(encrypted)print(f"{name:15}: {decrypted}")print("n✅ C2 配置还原成功！")except Exception as e:print(f"❌ 解密失败: {e}")sys.exit(1)
8.3 真实 C2 暴露
字段值SMTP 服务器mail.privateemail.com发件/收件邮箱mn@nevermind.cfd密码freeman123@@@
🔍 分析：privateemail.com 是 Namecheap 邮箱服务，常被滥用；.cfd 域名成本低、匿名性高，是攻击者首选。
9. IOC 与防御建议

9.1 网络 IOC
复制代码 隐藏代码nevermind.cfdmail.privateemail.comrossiwebtest.it
9.2 主机 IOC
复制代码 隐藏代码Mutex: 5EUV2NE8WAZNK6134F5Z进程: aspnet_compiler.exe (异常子进程)文件: C:Temp*.ps1 (随机名)
9.3 防御措施

终端防护
禁用 WSH： 复制代码 隐藏代码HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings → Enabled = 0限制 PowerShell：设置执行策略为 Restricted 或启用 Constrained Language Mode。
网络层
防火墙规则： 复制代码 隐藏代码netsh advfirewall firewall add rule name="Block C2" dir=out remoteip=nevermind.cfd action=blockDNS 黑名单：屏蔽 .cfd、.xyz 等高风险 TLD。
企业级
EDR 检测规则：监控 CREATE_SUSPENDED + WriteProcessMemory + ResumeThread 序列；用户教育：切勿在 FileZilla 中保存密码！
10. 结语

该样本代表了现代窃密木马的典型趋势：无文件、多层加密、合法进程伪装、灵活回传。防御此类威胁，不能仅依赖传统杀毒软件，而需结合：行为分析（监控异常进程注入）；网络流量检测（识别 C2 通信）；最小权限原则（限制脚本执行）。