MrFluent1/Weedhack-C2-Tracking

# Weedhack C2 域名监控 本仓库托管了一个小型静态监控器，用于监控与 Weedhack 恶意软件追踪目标相关的当前 C2 域名。 计划中的 GitHub Actions 工作流会读取一个以太坊智能合约，解码返回的 ABI 字符串，提取域名或 URL，并在规范化的指标集发生更改时提交经过清理的结构化输出。GitHub Pages UI 仅读取本仓库中的同源静态文件；访问者的浏览器不会直接调用以太坊 RPC 端点。 ## Weedhack 恶意软件背景 观察到的 Weedhack 样本使用了分阶段的、带签名的 C2 发现模型，而不是单一的硬编码攻击者主机。`dev.majanito` 和 `com.example` 家族依赖内嵌的公共 DNS-over-HTTPS 端点以及大量静态可恢复的以太坊 RPC 端点，对合约 `0x1280a841Fbc1F883365d3C83122260E0b2995B74` 执行 `eth_call` 请求。 返回的 `value|signature` 文本会被恶意软件进行 ABI 解码和 RSA 验证，然后才被用作下一阶段的 base URL。从我开始进行该项目起，根据离线解码的响应，根签名 base URL 解析为 `whpayment.ru` 和 `friendlydomain.ru`，随后被用于处理程序投递和模块检索等下游路径。 关键点在于，恶意软件的 C2 被抽象隐藏在公共 RPC 基础设施和签名配置背后，但其检索链本身是静态暴露的且可离线恢复。该项目专注于跟踪由合约支持的域名指标。它不包含恶意软件、载荷代码、漏洞利用代码或用于与受感染系统进行交互的工具。 ## 域名检索工作原理 1. 计划中的 GitHub Action 向 `https://ethereum-rpc.publicnode.com` 发送 `eth_call` 请求。 2. 工作流使用 calldata `0xce6d41de` 调用合约 `0x1280a841Fbc1F883365d3C83122260E0b2995B74`。 3. 返回的值被解码为单个 ABI 动态字符串或字节载荷。 4. 解码后的载荷被解释为 UTF-8 文本。 5. 如果解码后的文本包含 `|` 分隔符，则第二个字段将被视为类似签名的元数据：工作流仅存储 Base64 有效性、解码长度和 SHA-256 哈希值。 6. 使用正则表达式从解码后的文本中提取 URL 和域名，将其规范化为主机指标，并过滤出有效的域名语法。 7. 计划中的工作流仅将新的规范化指标追加到 `domains.log` 中，并仅当当前指标集发生更改时才更新 `latest.json`。 公共页面不执行合约读取操作。它从同一 GitHub Pages 源获取 `latest.json`、`latest_payload_sha256.txt` 和 `domains.log`，从而避免了访问者端的 RPC 暴露、页面加载时产生的不必要的 RPC 流量，以及在上游 RPC 提供商不可用时导致的页面故障。 ## 仓库内容 - `index.html` - GitHub Pages UI，用于显示来自静态仓库文件的最新经过清理的工作流结果。 - `scripts/decode_eth_domain.py` - GitHub Actions 使用的 Python 解码器。 - `.github/workflows/decode-eth-domain.yml` - 用于更新 `domains.log` 的计划工作流。 - `.github/workflows/pages.yml` - GitHub Pages 部署工作流。 - `domains.log` - 包含唯一规范化指标的 JSON-lines 历史记录。 - `latest.json` - 最新的经过清理的指标集和载荷元数据。 - `latest_payload_sha256.txt` - 最新解码载荷的 SHA-256 哈希值。 ## 本地运行 从仓库根目录运行解码器： ``` python3 scripts/decode_eth_domain.py ``` 该脚本会写入或更新： - `domains.log` - `latest.json` - `latest_payload_sha256.txt` 原始解码载荷文件和 Base64 解码字段工件被有意排除在提交之外。合约输出由攻击者控制，因此工作流仅存储规范化的指标和元数据。 ## GitHub Pages 为此仓库启用 GitHub Pages 后，静态页面将通过以下地址提供服务： ``` https://mrfluent1.github.io/Weedhack-C2-Tracking/ ``` 如果页面不可用，请检查仓库的 Actions 选项卡以查看 `Deploy GitHub Pages` 工作流，并确认该仓库已启用 Pages。 ## AI 使用声明 本项目在部分内容的创作中使用了 AI 辅助，包括页面结构、样式设计、解码逻辑、工作流自动化和文档编写。合约地址、calldata、解码输出和记录的值均来自配置的以太坊 RPC 调用和仓库工作流。 ## 安全提示 本仓库旨在用于恶意软件追踪和防御性分析。请勿使用解码出的基础设施指标去联系、操作或干扰第三方系统，除非是在经过授权的安全工作流中进行。

标签：ABI解码, C2域名监控, DAST, DNS-over-HTTPS, GitHub Actions, IoC提取, IP 地址批量处理, RSA签名验证, Web3安全, Weedhack恶意软件, 以太坊RPC, 以太坊智能合约, 区块链安全, 域名提取, 威胁情报, 开发者工具, 恶意软件分析, 恶意软件追踪, 网络信息收集, 网络安全, 自动化监控, 自动笔记, 逆向工具, 隐私保护, 静态网站