Static script de-obfuscator. The purpose is not to get surgical de-obfuscation, but rather to extract obfuscated IOCs.
- HTML script extraction
- MSOffice Embedded script
- CHR and CHRB decode
- String replace
- Powershell carets
- Array of strings
- Fake array vars
- Reverse strings
- B64 Decode - This module may also extract files
- Simple XOR function
- Charcode hex
- Powershell vars
- MSWord macro vars
- Concat strings
- Charcode
Assemblyline services are built from the Assemblyline service base image, which is based on Debian 11 with Python 3.11.
Assemblyline services use the following tag definitions:
| Tag Type | Description | Example Tag |
|---|---|---|
| latest | The most recent build (can be unstable). | latest |
| build_type | The type of build used. dev is the latest unstable build. stable is the latest stable build. |
stable or dev |
| series | Complete build details, including version and build type: version.buildType. |
4.5.stable, 4.5.1.dev3 |
This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.
If you would like to test this service locally, you can run the Docker image directly from the a shell:
docker run \
--name DeobfuScripter \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-deobfuscripter
To add this service to your Assemblyline deployment, follow this guide.
General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/
Désobfuscateur de scripts statiques. L'objectif n'est pas d'obtenir une désobfuscation chirurgicale, mais plutôt d'extraire les IOC obfusqués.
- Extraction du script HTML
- Script MSOffice Embedded
- Décodage CHR et CHRB
- Remplacement des chaînes de caractères
- Carottes Powershell
- Tableau de chaînes de caractères
- Faux tableaux de variables
- Chaînes inversées
- Décodage B64 - Ce module peut également extraire des fichiers
- Fonction XOR simple
- Charcode hexagonal
- Vars Powershell
- Vars de macro MSWord
- Chaînes de concat
- Charcode
Les services d'Assemblyline sont construits à partir de l'image de base Assemblyline service, qui est basée sur Debian 11 avec Python 3.11.
Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:
| Type d'étiquette | Description | Exemple d'étiquette |
|---|---|---|
| dernière version | La version la plus récente (peut être instable). | latest |
| build_type | Type de construction utilisé. dev est la dernière version instable. stable est la dernière version stable. |
stable ou dev |
| série | Détails de construction complets, comprenant la version et le type de build: version.buildType. |
4.5.stable, 4.5.1.dev3 |
Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.
Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:
docker run \
--name DeobfuScripter \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-deobfuscripter
Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci guide.
La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/