Decifrare il traffico della botnet Athena HTTP

athena-http

Se state analizzando la botnet Athena HTTP questo script in python che ho postato su gist potrebbe tornarvi utile per decifrare le informazioni scambiate tra il malware e il server di C&C. Individuare il traffico non è difficile, sono tutte richieste HTTP di tipo POST. Decifrare di volta in volta la comunicazione risulta un pelino più rognoso.

L’algoritmo di cifratura utilizzato nello script è valido per la versione 1.0.8 di Athena HTTP e del builder.