Skip to content

Instantly share code, notes, and snippets.

@stvemillertime

stvemillertime/XOREngine_HTTP.yar

Last active November 19, 2021 21:27
Show Gist options
  • Save stvemillertime/dcaa5435f70cd6e7db0d945db62994da to your computer and use it in GitHub Desktop.
Save stvemillertime/dcaa5435f70cd6e7db0d945db62994da to your computer and use it in GitHub Desktop.
Download ZIP
Raw
XOREngine_HTTP.yar
rule XOREngine_HTTP
{
meta:
author = "smiller"
description = "This looks for brute XOR of http:// in a PE."
ref = "578cb44b784125ebd58ecb458d51b23d"
strings:
$key_01 = { 69 75 75 71 3b 2e 2e }
$key_02 = { 6a 76 76 72 38 2d 2d }
$key_03 = { 6b 77 77 73 39 2c 2c }
$key_04 = { 6c 70 70 74 3e 2b 2b }
$key_05 = { 6d 71 71 75 3f 2a 2a }
$key_06 = { 6e 72 72 76 3c 29 29 }
$key_07 = { 6f 73 73 77 3d 28 28 }
$key_08 = { 60 7c 7c 78 32 27 27 }
$key_09 = { 61 7d 7d 79 33 26 26 }
$key_0a = { 62 7e 7e 7a 30 25 25 }
$key_0b = { 63 7f 7f 7b 31 24 24 }
$key_0c = { 64 78 78 7c 36 23 23 }
$key_0d = { 65 79 79 7d 37 22 22 }
$key_0e = { 66 7a 7a 7e 34 21 21 }
$key_0f = { 67 7b 7b 7f 35 20 20 }
$key_10 = { 78 64 64 60 2a 3f 3f }
$key_11 = { 79 65 65 61 2b 3e 3e }
$key_12 = { 7a 66 66 62 28 3d 3d }
$key_13 = { 7b 67 67 63 29 3c 3c }
$key_14 = { 7c 60 60 64 2e 3b 3b }
$key_15 = { 7d 61 61 65 2f 3a 3a }
$key_16 = { 7e 62 62 66 2c 39 39 }
$key_17 = { 7f 63 63 67 2d 38 38 }
$key_18 = { 70 6c 6c 68 22 37 37 }
$key_19 = { 71 6d 6d 69 23 36 36 }
$key_1a = { 72 6e 6e 6a 20 35 35 }
$key_1b = { 73 6f 6f 6b 21 34 34 }
$key_1c = { 74 68 68 6c 26 33 33 }
$key_1d = { 75 69 69 6d 27 32 32 }
$key_1e = { 76 6a 6a 6e 24 31 31 }
$key_1f = { 77 6b 6b 6f 25 30 30 }
$key_20 = { 48 54 54 50 1a 0f 0f }
$key_21 = { 49 55 55 51 1b 0e 0e }
$key_22 = { 4a 56 56 52 18 0d 0d }
$key_23 = { 4b 57 57 53 19 0c 0c }
$key_24 = { 4c 50 50 54 1e 0b 0b }
$key_25 = { 4d 51 51 55 1f 0a 0a }
$key_26 = { 4e 52 52 56 1c 09 09 }
$key_27 = { 4f 53 53 57 1d 08 08 }
$key_28 = { 40 5c 5c 58 12 07 07 }
$key_29 = { 41 5d 5d 59 13 06 06 }
$key_2a = { 42 5e 5e 5a 10 05 05 }
$key_2b = { 43 5f 5f 5b 11 04 04 }
$key_2c = { 44 58 58 5c 16 03 03 }
$key_2d = { 45 59 59 5d 17 02 02 }
$key_2e = { 46 5a 5a 5e 14 01 01 }
$key_2f = { 47 5b 5b 5f 15 00 00 }
$key_30 = { 58 44 44 40 0a 1f 1f }
$key_31 = { 59 45 45 41 0b 1e 1e }
$key_32 = { 5a 46 46 42 08 1d 1d }
$key_33 = { 5b 47 47 43 09 1c 1c }
$key_34 = { 5c 40 40 44 0e 1b 1b }
$key_35 = { 5d 41 41 45 0f 1a 1a }
$key_36 = { 5e 42 42 46 0c 19 19 }
$key_37 = { 5f 43 43 47 0d 18 18 }
$key_38 = { 50 4c 4c 48 02 17 17 }
$key_39 = { 51 4d 4d 49 03 16 16 }
$key_3a = { 52 4e 4e 4a 00 15 15 }
$key_3b = { 53 4f 4f 4b 01 14 14 }
$key_3c = { 54 48 48 4c 06 13 13 }
$key_3d = { 55 49 49 4d 07 12 12 }
$key_3e = { 56 4a 4a 4e 04 11 11 }
$key_3f = { 57 4b 4b 4f 05 10 10 }
$key_40 = { 28 34 34 30 7a 6f 6f }
$key_41 = { 29 35 35 31 7b 6e 6e }
$key_42 = { 2a 36 36 32 78 6d 6d }
$key_43 = { 2b 37 37 33 79 6c 6c }
$key_44 = { 2c 30 30 34 7e 6b 6b }
$key_45 = { 2d 31 31 35 7f 6a 6a }
$key_46 = { 2e 32 32 36 7c 69 69 }
$key_47 = { 2f 33 33 37 7d 68 68 }
$key_48 = { 20 3c 3c 38 72 67 67 }
$key_49 = { 21 3d 3d 39 73 66 66 }
$key_4a = { 22 3e 3e 3a 70 65 65 }
$key_4b = { 23 3f 3f 3b 71 64 64 }
$key_4c = { 24 38 38 3c 76 63 63 }
$key_4d = { 25 39 39 3d 77 62 62 }
$key_4e = { 26 3a 3a 3e 74 61 61 }
$key_4f = { 27 3b 3b 3f 75 60 60 }
$key_50 = { 38 24 24 20 6a 7f 7f }
$key_51 = { 39 25 25 21 6b 7e 7e }
$key_52 = { 3a 26 26 22 68 7d 7d }
$key_53 = { 3b 27 27 23 69 7c 7c }
$key_54 = { 3c 20 20 24 6e 7b 7b }
$key_55 = { 3d 21 21 25 6f 7a 7a }
$key_56 = { 3e 22 22 26 6c 79 79 }
$key_57 = { 3f 23 23 27 6d 78 78 }
$key_58 = { 30 2c 2c 28 62 77 77 }
$key_59 = { 31 2d 2d 29 63 76 76 }
$key_5a = { 32 2e 2e 2a 60 75 75 }
$key_5b = { 33 2f 2f 2b 61 74 74 }
$key_5c = { 34 28 28 2c 66 73 73 }
$key_5d = { 35 29 29 2d 67 72 72 }
$key_5e = { 36 2a 2a 2e 64 71 71 }
$key_5f = { 37 2b 2b 2f 65 70 70 }
$key_60 = { 08 14 14 10 5a 4f 4f }
$key_61 = { 09 15 15 11 5b 4e 4e }
$key_62 = { 0a 16 16 12 58 4d 4d }
$key_63 = { 0b 17 17 13 59 4c 4c }
$key_64 = { 0c 10 10 14 5e 4b 4b }
$key_65 = { 0d 11 11 15 5f 4a 4a }
$key_66 = { 0e 12 12 16 5c 49 49 }
$key_67 = { 0f 13 13 17 5d 48 48 }
$key_68 = { 00 1c 1c 18 52 47 47 }
$key_69 = { 01 1d 1d 19 53 46 46 }
$key_6a = { 02 1e 1e 1a 50 45 45 }
$key_6b = { 03 1f 1f 1b 51 44 44 }
$key_6c = { 04 18 18 1c 56 43 43 }
$key_6d = { 05 19 19 1d 57 42 42 }
$key_6e = { 06 1a 1a 1e 54 41 41 }
$key_6f = { 07 1b 1b 1f 55 40 40 }
$key_70 = { 18 04 04 00 4a 5f 5f }
$key_71 = { 19 05 05 01 4b 5e 5e }
$key_72 = { 1a 06 06 02 48 5d 5d }
$key_73 = { 1b 07 07 03 49 5c 5c }
$key_74 = { 1c 00 00 04 4e 5b 5b }
$key_75 = { 1d 01 01 05 4f 5a 5a }
$key_76 = { 1e 02 02 06 4c 59 59 }
$key_77 = { 1f 03 03 07 4d 58 58 }
$key_78 = { 10 0c 0c 08 42 57 57 }
$key_79 = { 11 0d 0d 09 43 56 56 }
$key_7a = { 12 0e 0e 0a 40 55 55 }
$key_7b = { 13 0f 0f 0b 41 54 54 }
$key_7c = { 14 08 08 0c 46 53 53 }
$key_7d = { 15 09 09 0d 47 52 52 }
$key_7e = { 16 0a 0a 0e 44 51 51 }
$key_7f = { 17 0b 0b 0f 45 50 50 }
$key_80 = { e8 f4 f4 f0 ba af af }
$key_81 = { e9 f5 f5 f1 bb ae ae }
$key_82 = { ea f6 f6 f2 b8 ad ad }
$key_83 = { eb f7 f7 f3 b9 ac ac }
$key_84 = { ec f0 f0 f4 be ab ab }
$key_85 = { ed f1 f1 f5 bf aa aa }
$key_86 = { ee f2 f2 f6 bc a9 a9 }
$key_87 = { ef f3 f3 f7 bd a8 a8 }
$key_88 = { e0 fc fc f8 b2 a7 a7 }
$key_89 = { e1 fd fd f9 b3 a6 a6 }
$key_8a = { e2 fe fe fa b0 a5 a5 }
$key_8b = { e3 ff ff fb b1 a4 a4 }
$key_8c = { e4 f8 f8 fc b6 a3 a3 }
$key_8d = { e5 f9 f9 fd b7 a2 a2 }
$key_8e = { e6 fa fa fe b4 a1 a1 }
$key_8f = { e7 fb fb ff b5 a0 a0 }
$key_90 = { f8 e4 e4 e0 aa bf bf }
$key_91 = { f9 e5 e5 e1 ab be be }
$key_92 = { fa e6 e6 e2 a8 bd bd }
$key_93 = { fb e7 e7 e3 a9 bc bc }
$key_94 = { fc e0 e0 e4 ae bb bb }
$key_95 = { fd e1 e1 e5 af ba ba }
$key_96 = { fe e2 e2 e6 ac b9 b9 }
$key_97 = { ff e3 e3 e7 ad b8 b8 }
$key_98 = { f0 ec ec e8 a2 b7 b7 }
$key_99 = { f1 ed ed e9 a3 b6 b6 }
$key_9a = { f2 ee ee ea a0 b5 b5 }
$key_9b = { f3 ef ef eb a1 b4 b4 }
$key_9c = { f4 e8 e8 ec a6 b3 b3 }
$key_9d = { f5 e9 e9 ed a7 b2 b2 }
$key_9e = { f6 ea ea ee a4 b1 b1 }
$key_9f = { f7 eb eb ef a5 b0 b0 }
$key_a0 = { c8 d4 d4 d0 9a 8f 8f }
$key_a1 = { c9 d5 d5 d1 9b 8e 8e }
$key_a2 = { ca d6 d6 d2 98 8d 8d }
$key_a3 = { cb d7 d7 d3 99 8c 8c }
$key_a4 = { cc d0 d0 d4 9e 8b 8b }
$key_a5 = { cd d1 d1 d5 9f 8a 8a }
$key_a6 = { ce d2 d2 d6 9c 89 89 }
$key_a7 = { cf d3 d3 d7 9d 88 88 }
$key_a8 = { c0 dc dc d8 92 87 87 }
$key_a9 = { c1 dd dd d9 93 86 86 }
$key_aa = { c2 de de da 90 85 85 }
$key_ab = { c3 df df db 91 84 84 }
$key_ac = { c4 d8 d8 dc 96 83 83 }
$key_ad = { c5 d9 d9 dd 97 82 82 }
$key_ae = { c6 da da de 94 81 81 }
$key_af = { c7 db db df 95 80 80 }
$key_b0 = { d8 c4 c4 c0 8a 9f 9f }
$key_b1 = { d9 c5 c5 c1 8b 9e 9e }
$key_b2 = { da c6 c6 c2 88 9d 9d }
$key_b3 = { db c7 c7 c3 89 9c 9c }
$key_b4 = { dc c0 c0 c4 8e 9b 9b }
$key_b5 = { dd c1 c1 c5 8f 9a 9a }
$key_b6 = { de c2 c2 c6 8c 99 99 }
$key_b7 = { df c3 c3 c7 8d 98 98 }
$key_b8 = { d0 cc cc c8 82 97 97 }
$key_b9 = { d1 cd cd c9 83 96 96 }
$key_ba = { d2 ce ce ca 80 95 95 }
$key_bb = { d3 cf cf cb 81 94 94 }
$key_bc = { d4 c8 c8 cc 86 93 93 }
$key_bd = { d5 c9 c9 cd 87 92 92 }
$key_be = { d6 ca ca ce 84 91 91 }
$key_bf = { d7 cb cb cf 85 90 90 }
$key_c0 = { a8 b4 b4 b0 fa ef ef }
$key_c1 = { a9 b5 b5 b1 fb ee ee }
$key_c2 = { aa b6 b6 b2 f8 ed ed }
$key_c3 = { ab b7 b7 b3 f9 ec ec }
$key_c4 = { ac b0 b0 b4 fe eb eb }
$key_c5 = { ad b1 b1 b5 ff ea ea }
$key_c6 = { ae b2 b2 b6 fc e9 e9 }
$key_c7 = { af b3 b3 b7 fd e8 e8 }
$key_c8 = { a0 bc bc b8 f2 e7 e7 }
$key_c9 = { a1 bd bd b9 f3 e6 e6 }
$key_ca = { a2 be be ba f0 e5 e5 }
$key_cb = { a3 bf bf bb f1 e4 e4 }
$key_cc = { a4 b8 b8 bc f6 e3 e3 }
$key_cd = { a5 b9 b9 bd f7 e2 e2 }
$key_ce = { a6 ba ba be f4 e1 e1 }
$key_cf = { a7 bb bb bf f5 e0 e0 }
$key_d0 = { b8 a4 a4 a0 ea ff ff }
$key_d1 = { b9 a5 a5 a1 eb fe fe }
$key_d2 = { ba a6 a6 a2 e8 fd fd }
$key_d3 = { bb a7 a7 a3 e9 fc fc }
$key_d4 = { bc a0 a0 a4 ee fb fb }
$key_d5 = { bd a1 a1 a5 ef fa fa }
$key_d6 = { be a2 a2 a6 ec f9 f9 }
$key_d7 = { bf a3 a3 a7 ed f8 f8 }
$key_d8 = { b0 ac ac a8 e2 f7 f7 }
$key_d9 = { b1 ad ad a9 e3 f6 f6 }
$key_da = { b2 ae ae aa e0 f5 f5 }
$key_db = { b3 af af ab e1 f4 f4 }
$key_dc = { b4 a8 a8 ac e6 f3 f3 }
$key_dd = { b5 a9 a9 ad e7 f2 f2 }
$key_de = { b6 aa aa ae e4 f1 f1 }
$key_df = { b7 ab ab af e5 f0 f0 }
$key_e0 = { 88 94 94 90 da cf cf }
$key_e1 = { 89 95 95 91 db ce ce }
$key_e2 = { 8a 96 96 92 d8 cd cd }
$key_e3 = { 8b 97 97 93 d9 cc cc }
$key_e4 = { 8c 90 90 94 de cb cb }
$key_e5 = { 8d 91 91 95 df ca ca }
$key_e6 = { 8e 92 92 96 dc c9 c9 }
$key_e7 = { 8f 93 93 97 dd c8 c8 }
$key_e8 = { 80 9c 9c 98 d2 c7 c7 }
$key_e9 = { 81 9d 9d 99 d3 c6 c6 }
$key_ea = { 82 9e 9e 9a d0 c5 c5 }
$key_eb = { 83 9f 9f 9b d1 c4 c4 }
$key_ec = { 84 98 98 9c d6 c3 c3 }
$key_ed = { 85 99 99 9d d7 c2 c2 }
$key_ee = { 86 9a 9a 9e d4 c1 c1 }
$key_ef = { 87 9b 9b 9f d5 c0 c0 }
$key_f0 = { 98 84 84 80 ca df df }
$key_f1 = { 99 85 85 81 cb de de }
$key_f2 = { 9a 86 86 82 c8 dd dd }
$key_f3 = { 9b 87 87 83 c9 dc dc }
$key_f4 = { 9c 80 80 84 ce db db }
$key_f5 = { 9d 81 81 85 cf da da }
$key_f6 = { 9e 82 82 86 cc d9 d9 }
$key_f7 = { 9f 83 83 87 cd d8 d8 }
$key_f8 = { 90 8c 8c 88 c2 d7 d7 }
$key_f9 = { 91 8d 8d 89 c3 d6 d6 }
$key_fa = { 92 8e 8e 8a c0 d5 d5 }
$key_fb = { 93 8f 8f 8b c1 d4 d4 }
$key_fc = { 94 88 88 8c c6 d3 d3 }
$key_fd = { 95 89 89 8d c7 d2 d2 }
$key_fe = { 96 8a 8a 8e c4 d1 d1 }
$key_ff = { 97 8b 8b 8f c5 d0 d0 }
condition:
filesize < 25MB and (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and any of them
}
rule XOREngine_HTTPS
{
meta:
author = "stvemillertime"
description = "This looks for brute XOR of https:// in a PE."
strings:
$key_01 = { 69 75 75 71 72 3b 2e 2e }
$key_02 = { 6a 76 76 72 71 38 2d 2d }
$key_03 = { 6b 77 77 73 70 39 2c 2c }
$key_04 = { 6c 70 70 74 77 3e 2b 2b }
$key_05 = { 6d 71 71 75 76 3f 2a 2a }
$key_06 = { 6e 72 72 76 75 3c 29 29 }
$key_07 = { 6f 73 73 77 74 3d 28 28 }
$key_08 = { 60 7c 7c 78 7b 32 27 27 }
$key_09 = { 61 7d 7d 79 7a 33 26 26 }
$key_0a = { 62 7e 7e 7a 79 30 25 25 }
$key_0b = { 63 7f 7f 7b 78 31 24 24 }
$key_0c = { 64 78 78 7c 7f 36 23 23 }
$key_0d = { 65 79 79 7d 7e 37 22 22 }
$key_0e = { 66 7a 7a 7e 7d 34 21 21 }
$key_0f = { 67 7b 7b 7f 7c 35 20 20 }
$key_10 = { 78 64 64 60 63 2a 3f 3f }
$key_11 = { 79 65 65 61 62 2b 3e 3e }
$key_12 = { 7a 66 66 62 61 28 3d 3d }
$key_13 = { 7b 67 67 63 60 29 3c 3c }
$key_14 = { 7c 60 60 64 67 2e 3b 3b }
$key_15 = { 7d 61 61 65 66 2f 3a 3a }
$key_16 = { 7e 62 62 66 65 2c 39 39 }
$key_17 = { 7f 63 63 67 64 2d 38 38 }
$key_18 = { 70 6c 6c 68 6b 22 37 37 }
$key_19 = { 71 6d 6d 69 6a 23 36 36 }
$key_1a = { 72 6e 6e 6a 69 20 35 35 }
$key_1b = { 73 6f 6f 6b 68 21 34 34 }
$key_1c = { 74 68 68 6c 6f 26 33 33 }
$key_1d = { 75 69 69 6d 6e 27 32 32 }
$key_1e = { 76 6a 6a 6e 6d 24 31 31 }
$key_1f = { 77 6b 6b 6f 6c 25 30 30 }
$key_20 = { 48 54 54 50 53 1a 0f 0f }
$key_21 = { 49 55 55 51 52 1b 0e 0e }
$key_22 = { 4a 56 56 52 51 18 0d 0d }
$key_23 = { 4b 57 57 53 50 19 0c 0c }
$key_24 = { 4c 50 50 54 57 1e 0b 0b }
$key_25 = { 4d 51 51 55 56 1f 0a 0a }
$key_26 = { 4e 52 52 56 55 1c 09 09 }
$key_27 = { 4f 53 53 57 54 1d 08 08 }
$key_28 = { 40 5c 5c 58 5b 12 07 07 }
$key_29 = { 41 5d 5d 59 5a 13 06 06 }
$key_2a = { 42 5e 5e 5a 59 10 05 05 }
$key_2b = { 43 5f 5f 5b 58 11 04 04 }
$key_2c = { 44 58 58 5c 5f 16 03 03 }
$key_2d = { 45 59 59 5d 5e 17 02 02 }
$key_2e = { 46 5a 5a 5e 5d 14 01 01 }
$key_2f = { 47 5b 5b 5f 5c 15 00 00 }
$key_30 = { 58 44 44 40 43 0a 1f 1f }
$key_31 = { 59 45 45 41 42 0b 1e 1e }
$key_32 = { 5a 46 46 42 41 08 1d 1d }
$key_33 = { 5b 47 47 43 40 09 1c 1c }
$key_34 = { 5c 40 40 44 47 0e 1b 1b }
$key_35 = { 5d 41 41 45 46 0f 1a 1a }
$key_36 = { 5e 42 42 46 45 0c 19 19 }
$key_37 = { 5f 43 43 47 44 0d 18 18 }
$key_38 = { 50 4c 4c 48 4b 02 17 17 }
$key_39 = { 51 4d 4d 49 4a 03 16 16 }
$key_3a = { 52 4e 4e 4a 49 00 15 15 }
$key_3b = { 53 4f 4f 4b 48 01 14 14 }
$key_3c = { 54 48 48 4c 4f 06 13 13 }
$key_3d = { 55 49 49 4d 4e 07 12 12 }
$key_3e = { 56 4a 4a 4e 4d 04 11 11 }
$key_3f = { 57 4b 4b 4f 4c 05 10 10 }
$key_40 = { 28 34 34 30 33 7a 6f 6f }
$key_41 = { 29 35 35 31 32 7b 6e 6e }
$key_42 = { 2a 36 36 32 31 78 6d 6d }
$key_43 = { 2b 37 37 33 30 79 6c 6c }
$key_44 = { 2c 30 30 34 37 7e 6b 6b }
$key_45 = { 2d 31 31 35 36 7f 6a 6a }
$key_46 = { 2e 32 32 36 35 7c 69 69 }
$key_47 = { 2f 33 33 37 34 7d 68 68 }
$key_48 = { 20 3c 3c 38 3b 72 67 67 }
$key_49 = { 21 3d 3d 39 3a 73 66 66 }
$key_4a = { 22 3e 3e 3a 39 70 65 65 }
$key_4b = { 23 3f 3f 3b 38 71 64 64 }
$key_4c = { 24 38 38 3c 3f 76 63 63 }
$key_4d = { 25 39 39 3d 3e 77 62 62 }
$key_4e = { 26 3a 3a 3e 3d 74 61 61 }
$key_4f = { 27 3b 3b 3f 3c 75 60 60 }
$key_50 = { 38 24 24 20 23 6a 7f 7f }
$key_51 = { 39 25 25 21 22 6b 7e 7e }
$key_52 = { 3a 26 26 22 21 68 7d 7d }
$key_53 = { 3b 27 27 23 20 69 7c 7c }
$key_54 = { 3c 20 20 24 27 6e 7b 7b }
$key_55 = { 3d 21 21 25 26 6f 7a 7a }
$key_56 = { 3e 22 22 26 25 6c 79 79 }
$key_57 = { 3f 23 23 27 24 6d 78 78 }
$key_58 = { 30 2c 2c 28 2b 62 77 77 }
$key_59 = { 31 2d 2d 29 2a 63 76 76 }
$key_5a = { 32 2e 2e 2a 29 60 75 75 }
$key_5b = { 33 2f 2f 2b 28 61 74 74 }
$key_5c = { 34 28 28 2c 2f 66 73 73 }
$key_5d = { 35 29 29 2d 2e 67 72 72 }
$key_5e = { 36 2a 2a 2e 2d 64 71 71 }
$key_5f = { 37 2b 2b 2f 2c 65 70 70 }
$key_60 = { 08 14 14 10 13 5a 4f 4f }
$key_61 = { 09 15 15 11 12 5b 4e 4e }
$key_62 = { 0a 16 16 12 11 58 4d 4d }
$key_63 = { 0b 17 17 13 10 59 4c 4c }
$key_64 = { 0c 10 10 14 17 5e 4b 4b }
$key_65 = { 0d 11 11 15 16 5f 4a 4a }
$key_66 = { 0e 12 12 16 15 5c 49 49 }
$key_67 = { 0f 13 13 17 14 5d 48 48 }
$key_68 = { 00 1c 1c 18 1b 52 47 47 }
$key_69 = { 01 1d 1d 19 1a 53 46 46 }
$key_6a = { 02 1e 1e 1a 19 50 45 45 }
$key_6b = { 03 1f 1f 1b 18 51 44 44 }
$key_6c = { 04 18 18 1c 1f 56 43 43 }
$key_6d = { 05 19 19 1d 1e 57 42 42 }
$key_6e = { 06 1a 1a 1e 1d 54 41 41 }
$key_6f = { 07 1b 1b 1f 1c 55 40 40 }
$key_70 = { 18 04 04 00 03 4a 5f 5f }
$key_71 = { 19 05 05 01 02 4b 5e 5e }
$key_72 = { 1a 06 06 02 01 48 5d 5d }
$key_73 = { 1b 07 07 03 00 49 5c 5c }
$key_74 = { 1c 00 00 04 07 4e 5b 5b }
$key_75 = { 1d 01 01 05 06 4f 5a 5a }
$key_76 = { 1e 02 02 06 05 4c 59 59 }
$key_77 = { 1f 03 03 07 04 4d 58 58 }
$key_78 = { 10 0c 0c 08 0b 42 57 57 }
$key_79 = { 11 0d 0d 09 0a 43 56 56 }
$key_7a = { 12 0e 0e 0a 09 40 55 55 }
$key_7b = { 13 0f 0f 0b 08 41 54 54 }
$key_7c = { 14 08 08 0c 0f 46 53 53 }
$key_7d = { 15 09 09 0d 0e 47 52 52 }
$key_7e = { 16 0a 0a 0e 0d 44 51 51 }
$key_7f = { 17 0b 0b 0f 0c 45 50 50 }
$key_80 = { e8 f4 f4 f0 f3 ba af af }
$key_81 = { e9 f5 f5 f1 f2 bb ae ae }
$key_82 = { ea f6 f6 f2 f1 b8 ad ad }
$key_83 = { eb f7 f7 f3 f0 b9 ac ac }
$key_84 = { ec f0 f0 f4 f7 be ab ab }
$key_85 = { ed f1 f1 f5 f6 bf aa aa }
$key_86 = { ee f2 f2 f6 f5 bc a9 a9 }
$key_87 = { ef f3 f3 f7 f4 bd a8 a8 }
$key_88 = { e0 fc fc f8 fb b2 a7 a7 }
$key_89 = { e1 fd fd f9 fa b3 a6 a6 }
$key_8a = { e2 fe fe fa f9 b0 a5 a5 }
$key_8b = { e3 ff ff fb f8 b1 a4 a4 }
$key_8c = { e4 f8 f8 fc ff b6 a3 a3 }
$key_8d = { e5 f9 f9 fd fe b7 a2 a2 }
$key_8e = { e6 fa fa fe fd b4 a1 a1 }
$key_8f = { e7 fb fb ff fc b5 a0 a0 }
$key_90 = { f8 e4 e4 e0 e3 aa bf bf }
$key_91 = { f9 e5 e5 e1 e2 ab be be }
$key_92 = { fa e6 e6 e2 e1 a8 bd bd }
$key_93 = { fb e7 e7 e3 e0 a9 bc bc }
$key_94 = { fc e0 e0 e4 e7 ae bb bb }
$key_95 = { fd e1 e1 e5 e6 af ba ba }
$key_96 = { fe e2 e2 e6 e5 ac b9 b9 }
$key_97 = { ff e3 e3 e7 e4 ad b8 b8 }
$key_98 = { f0 ec ec e8 eb a2 b7 b7 }
$key_99 = { f1 ed ed e9 ea a3 b6 b6 }
$key_9a = { f2 ee ee ea e9 a0 b5 b5 }
$key_9b = { f3 ef ef eb e8 a1 b4 b4 }
$key_9c = { f4 e8 e8 ec ef a6 b3 b3 }
$key_9d = { f5 e9 e9 ed ee a7 b2 b2 }
$key_9e = { f6 ea ea ee ed a4 b1 b1 }
$key_9f = { f7 eb eb ef ec a5 b0 b0 }
$key_a0 = { c8 d4 d4 d0 d3 9a 8f 8f }
$key_a1 = { c9 d5 d5 d1 d2 9b 8e 8e }
$key_a2 = { ca d6 d6 d2 d1 98 8d 8d }
$key_a3 = { cb d7 d7 d3 d0 99 8c 8c }
$key_a4 = { cc d0 d0 d4 d7 9e 8b 8b }
$key_a5 = { cd d1 d1 d5 d6 9f 8a 8a }
$key_a6 = { ce d2 d2 d6 d5 9c 89 89 }
$key_a7 = { cf d3 d3 d7 d4 9d 88 88 }
$key_a8 = { c0 dc dc d8 db 92 87 87 }
$key_a9 = { c1 dd dd d9 da 93 86 86 }
$key_aa = { c2 de de da d9 90 85 85 }
$key_ab = { c3 df df db d8 91 84 84 }
$key_ac = { c4 d8 d8 dc df 96 83 83 }
$key_ad = { c5 d9 d9 dd de 97 82 82 }
$key_ae = { c6 da da de dd 94 81 81 }
$key_af = { c7 db db df dc 95 80 80 }
$key_b0 = { d8 c4 c4 c0 c3 8a 9f 9f }
$key_b1 = { d9 c5 c5 c1 c2 8b 9e 9e }
$key_b2 = { da c6 c6 c2 c1 88 9d 9d }
$key_b3 = { db c7 c7 c3 c0 89 9c 9c }
$key_b4 = { dc c0 c0 c4 c7 8e 9b 9b }
$key_b5 = { dd c1 c1 c5 c6 8f 9a 9a }
$key_b6 = { de c2 c2 c6 c5 8c 99 99 }
$key_b7 = { df c3 c3 c7 c4 8d 98 98 }
$key_b8 = { d0 cc cc c8 cb 82 97 97 }
$key_b9 = { d1 cd cd c9 ca 83 96 96 }
$key_ba = { d2 ce ce ca c9 80 95 95 }
$key_bb = { d3 cf cf cb c8 81 94 94 }
$key_bc = { d4 c8 c8 cc cf 86 93 93 }
$key_bd = { d5 c9 c9 cd ce 87 92 92 }
$key_be = { d6 ca ca ce cd 84 91 91 }
$key_bf = { d7 cb cb cf cc 85 90 90 }
$key_c0 = { a8 b4 b4 b0 b3 fa ef ef }
$key_c1 = { a9 b5 b5 b1 b2 fb ee ee }
$key_c2 = { aa b6 b6 b2 b1 f8 ed ed }
$key_c3 = { ab b7 b7 b3 b0 f9 ec ec }
$key_c4 = { ac b0 b0 b4 b7 fe eb eb }
$key_c5 = { ad b1 b1 b5 b6 ff ea ea }
$key_c6 = { ae b2 b2 b6 b5 fc e9 e9 }
$key_c7 = { af b3 b3 b7 b4 fd e8 e8 }
$key_c8 = { a0 bc bc b8 bb f2 e7 e7 }
$key_c9 = { a1 bd bd b9 ba f3 e6 e6 }
$key_ca = { a2 be be ba b9 f0 e5 e5 }
$key_cb = { a3 bf bf bb b8 f1 e4 e4 }
$key_cc = { a4 b8 b8 bc bf f6 e3 e3 }
$key_cd = { a5 b9 b9 bd be f7 e2 e2 }
$key_ce = { a6 ba ba be bd f4 e1 e1 }
$key_cf = { a7 bb bb bf bc f5 e0 e0 }
$key_d0 = { b8 a4 a4 a0 a3 ea ff ff }
$key_d1 = { b9 a5 a5 a1 a2 eb fe fe }
$key_d2 = { ba a6 a6 a2 a1 e8 fd fd }
$key_d3 = { bb a7 a7 a3 a0 e9 fc fc }
$key_d4 = { bc a0 a0 a4 a7 ee fb fb }
$key_d5 = { bd a1 a1 a5 a6 ef fa fa }
$key_d6 = { be a2 a2 a6 a5 ec f9 f9 }
$key_d7 = { bf a3 a3 a7 a4 ed f8 f8 }
$key_d8 = { b0 ac ac a8 ab e2 f7 f7 }
$key_d9 = { b1 ad ad a9 aa e3 f6 f6 }
$key_da = { b2 ae ae aa a9 e0 f5 f5 }
$key_db = { b3 af af ab a8 e1 f4 f4 }
$key_dc = { b4 a8 a8 ac af e6 f3 f3 }
$key_dd = { b5 a9 a9 ad ae e7 f2 f2 }
$key_de = { b6 aa aa ae ad e4 f1 f1 }
$key_df = { b7 ab ab af ac e5 f0 f0 }
$key_e0 = { 88 94 94 90 93 da cf cf }
$key_e1 = { 89 95 95 91 92 db ce ce }
$key_e2 = { 8a 96 96 92 91 d8 cd cd }
$key_e3 = { 8b 97 97 93 90 d9 cc cc }
$key_e4 = { 8c 90 90 94 97 de cb cb }
$key_e5 = { 8d 91 91 95 96 df ca ca }
$key_e6 = { 8e 92 92 96 95 dc c9 c9 }
$key_e7 = { 8f 93 93 97 94 dd c8 c8 }
$key_e8 = { 80 9c 9c 98 9b d2 c7 c7 }
$key_e9 = { 81 9d 9d 99 9a d3 c6 c6 }
$key_ea = { 82 9e 9e 9a 99 d0 c5 c5 }
$key_eb = { 83 9f 9f 9b 98 d1 c4 c4 }
$key_ec = { 84 98 98 9c 9f d6 c3 c3 }
$key_ed = { 85 99 99 9d 9e d7 c2 c2 }
$key_ee = { 86 9a 9a 9e 9d d4 c1 c1 }
$key_ef = { 87 9b 9b 9f 9c d5 c0 c0 }
$key_f0 = { 98 84 84 80 83 ca df df }
$key_f1 = { 99 85 85 81 82 cb de de }
$key_f2 = { 9a 86 86 82 81 c8 dd dd }
$key_f3 = { 9b 87 87 83 80 c9 dc dc }
$key_f4 = { 9c 80 80 84 87 ce db db }
$key_f5 = { 9d 81 81 85 86 cf da da }
$key_f6 = { 9e 82 82 86 85 cc d9 d9 }
$key_f7 = { 9f 83 83 87 84 cd d8 d8 }
$key_f8 = { 90 8c 8c 88 8b c2 d7 d7 }
$key_f9 = { 91 8d 8d 89 8a c3 d6 d6 }
$key_fa = { 92 8e 8e 8a 89 c0 d5 d5 }
$key_fb = { 93 8f 8f 8b 88 c1 d4 d4 }
$key_fc = { 94 88 88 8c 8f c6 d3 d3 }
$key_fd = { 95 89 89 8d 8e c7 d2 d2 }
$key_fe = { 96 8a 8a 8e 8d c4 d1 d1 }
$key_ff = { 97 8b 8b 8f 8c c5 d0 d0 }
condition:
filesize < 25MB and (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and any of them
}
rule XOREngine_Misc_XOR_Func
{
meta:
author = "smiller cc @florian @wesley idea on implementation with yara's built in XOR function"
description = "Use with care, https://twitter.com/cyb3rops/status/1237042104406355968"
strings:
$s1 = "http://" xor(0x01-0xff)
$s2 = "https://" xor(0x01-0xff)
$s3 = "Mozilla/" xor(0x01-0xff)
condition:
filesize < 25MB and (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and any of them
}
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment