HaboMalHunter

(Bitte siehe die chinesische Version hier)

Das Open -Source -Incentive -Programm von Tencent fördert die Beteiligung und Beiträge der Entwickler und freut sich auf Ihre Beitritts.

Habomalhunter ist ein Unterprojekt des Habo Malware-Analyse-Systems (https://habo.qq.com), das für die automatisierte Malwareanalyse und Sicherheitsbewertung des Linux-Systems verwendet werden kann. Das Tool hilft der Sicherheitsanalyse des Extrahierens der statischen und dynamischen Merkmale aus Malware effektiv und effizient. Der generierte Bericht enthält wichtige Informationen zu Prozess-, Datei -E/A-, Netzwerk- und Systemaufrufen.

Das Tool kann für die statische und dynamische Analyse von ELF -Dateien auf der Linux x86/x64 -Plattform verwendet werden.

1. Grundlegende Informationen: MD5, Name, Dateityp, Größe und SSDeep.
2. So Abhängigkeit von Dateien: So Dateieninformationen (nur für dynamische verknüpfte Dateien angewendet).
3. Saiteninformationen.
4. Elf -Header und Einstiegspunkt.
5. IP und Ports
6. ELF -Segment, Abschnitt und Hash.
7. Quelldateinamen.

1. Start und Kündigung: Zeitstempel und verstrichene Zeit.
2. Verarbeitung von Informationen: Klon, ausführen und beenden usw.
3. Datei E/O: Öffnen, Lesen, Schreiben und Löschen usw.
4. Netzwerk: TCP, UDP, HTTP und HTTPS usw.
5. Typische bösartige Handlungen: Selbstdeletion, Midification und Lock.
6. API -Informationen: GETPID-, System-, DUP- und andere LIBC -Funktionen.
7. SYSCALLE -SEKEN.

1. Der HTML -Bericht.

2. Der JSON -Bericht.

Das Tool wird auf der VirtualBox 5.1 mit Ubuntu 14.04 LTS ausgeführt.

Um die Thrid -Party -Software zu installieren, führen Sie bitte den folgenden Befehl aus, nachdem Sie den Code erhalten haben:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Bitte laden Sie den Quellcode zunächst in die VM hoch. Führen Sie den folgenden Befehl mit der Root -Berechtigung unter dem /root -Verzeichnis aus.

cp -ra /media/sf_Source/ * .

Der Befehl kompiliert und verpackt den Quellcode und generiert dann zwei Zip -Dateien.

bash package.sh

Verwenden Sie ./test/bin/read.32.elf um einen Test durchzuführen. Der zweite Befehl kopiert den Bericht und meldet sich außerhalb der VM an.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Unter dem Ergebnis, output.static ist statisches Analyseergebnis, output.dynamic Dynamic ist dynamisches Analyseergebnis und system.log ist Laufzeitprotokoll. Benutzer können auch Muster in das Habo Malware -Analyse -System (https://habo.qq.com) hochladen, um einen kurzen Bericht zu erhalten.

1. [Fertig] Gedächtnisanalyse.
2. Weitere Yara -Regeln (./utils/yara/malware/)
3. [Fertig] HTML -Ausgangsformat

1. Die Malware-Analyse sollte in einer Umgebung mit virtueller Maschine durchgeführt werden, und Intel-VT sollte am BIOS des Hosts aktiviert werden. Wir haften nicht dem Schaden der analysierten Malware.
2. VirtualBox 5.1 wird empfohlen.
3. Das Tool generiert auch ein dynamisches Protokoll, das eine Fehlermeldung für ELF -Dateien enthält, die nicht ausgeführt werden können, wie z. B. Dateien.

Habomalhunter ist ein Open-Source-Unterprojekt des Hubble-Analyse-Systems (https://habo.qq.com), ein Open-Source-Tool für automatisierte Analyse- und Dateisicherheitserkennung unter der Linux-Plattform. Die Verwendung dieses Tools kann Sicherheitsanalysten helfen, statische und dynamische Verhaltensmerkmale von böswilligen Proben auf präzise und effiziente Weise zu erhalten. Der Analysebericht enthält wichtige Informationen wie Prozesse, Dateien, Netzwerke und Systemaufrufe.

Open Source Code unterstützt die automatisierte statische dynamische Analyse von ELF -Dateien auf Linux X86/X64 -Plattformen.

1. Grundlegende Informationen: einschließlich Datei MD5, Name, Typ, Größe und SSDEEP.
2. Abhängigkeit SO INFORMATIONEN: Für dynamisch verknüpfte Dateien sind Ausgabe abhängig SO Informationen.
3. Stringinformationen
4. ELF -Header -Informationen, Einstiegspunkt
5. IP- und Portinformationen
6. ELF -Segmentinformationen, Abschnitt Informationen und Hash -Wert
7. Quelldateiname

1. Dynamische Betriebsdaten für das Start von Betrieb: zeitaufwändig usw. usw.
2. Prozessinformationen: Klon -System -Anruf, Ausführen von Anrufe, Prozesserstellung usw.
3. Dateibetriebsinformationen: Öffnen, lesen, ändern, löschen und andere IO -Operationen Datei -IO -Operationen öffnen
4. Netzwerkinformationen: TCP, UDP, HTTP, HTTPS, SSL und andere Informationen
5. Typisches bösartiges Verhalten: Selbstdelsel, Selbstmodifizierung und Selbstverstärkung usw.
6. API -Informationen: GETPID-, System-, DUP- und andere LIBC -Funktionsaufrufe
7. SYSCall -Sequenzinformationen

Um die Hubble Linux Open Source -Version für die Virusanalyse zu verwenden, muss zunächst eine virtuelle Maschinenumgebung für den Betrieb von Viren erstellt werden. Führen und analysieren Sie Viren niemals direkt in realen Umgebungen. Das Projekt verwendet VirtualBox 5.1, um Ubuntu 14.04 LTS standardmäßig als analytische Umgebung auszuführen.

Installieren Sie die relevante Software und erhalten Sie den Quellcode. Führen Sie bitte den folgenden Befehl als Root in der virtuellen Maschine aus:

root# cd ./util/update_image
root# bash update_image.sh

Verwenden Sie Git -Tools, um den Quellcode zu erhalten.

git clone https://github.com/Tencent/HaboMalHunter.git

Der größte Teil des Quellcodes ist Python, und ein Teil des C -Codes muss zusammengestellt und verpackt werden. Laden Sie den Code zuerst in die virtuelle Maschine hoch. Verwenden Sie die Rootidentität und verwenden Sie Befehle im / root / verzeichnis, wie in der Abbildung gezeigt:

cp -ra /media/sf_Source/ * .

Führen Sie den Befehl, Kompilieren und Paket aus und geben Sie zwei Dateien aus, analyzEcontrol_1129.zip und test_1129.zip, wie in der Abbildung gezeigt:

bash package.sh

Dieses Mal haben wir die Testdatei verwendet ./test/bin/read.32.elf zum Testen. Verwenden Sie den folgenden Befehl: Der zweite Befehl kopiert die Analyseergebnisse außerhalb der virtuellen Maschine und wird von den Analysten zum Lesen verwendet.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

In den Analyseergebnissen Output.Static ist das statische Analyseergebnis, Output.Dynamic ist das dynamische Analyseergebnis und das System .log ist das Laufzeitprotokoll. Gleichzeitig kann auch die Stichprobenanalyse in Kombination mit den Ergebnissen im Hubble -Analyse -System (https://habo.qq.com) durchgeführt werden.

1. [Abgeschlossen] möchten volatile und Kalk für die Speicheranalyse verwenden
2. Ich hoffe, weitere Virenregeln hinzuzufügen (./util/yara/malware)
3. [Abgeschlossen] Ich hoffe, das Ausgabe -JSON -Datenformat in HTML -Seite für die Anzeige umzuwandeln

1. Um Viren zu analysieren, führen Sie sie bitte in einer virtuellen Maschinenumgebung aus und aktivieren Sie die Intel-VT-Funktion in den BIOS-Einstellungen. Dieses Projekt übernimmt keine Verantwortung für Probleme mit der Softwaresicherheit, die durch den Ausführen von Viren verursacht werden.
2. Es wird empfohlen, VirtualBox 5.1 oder höher zu verwenden, um virtuelle Maschinen auszuführen.
3. Für ELF -Dateien, die nicht ausgeführt werden können, z. B. Dateien, generiert das Hubble -Analyse -System standardmäßig dynamische Protokolle, es gibt jedoch nur Fehlermeldungen, die nicht ausgeführt werden können.