HaboMalHunter

(Consulte la versión china aquí)

El programa de incentivos de código abierto de Tencent fomenta la participación y las contribuciones de los desarrolladores, y espera su unión.

Habomalhunter es un subproyecto del sistema de análisis de malware Habo (https://habo.qq.com), que puede usarse para el análisis automatizado de malware y la evaluación de seguridad en el sistema Linux. La herramienta ayuda a analizar la seguridad de la extracción de las características estáticas y dinámicas del malware de manera efectiva y eficiente. El informe generado proporciona información significativa sobre el proceso, la E/S de archivos, la red y las llamadas del sistema.

La herramienta se puede utilizar para el análisis estático y dinámico de los archivos ELF en la plataforma Linux X86/X64.

1. Información básica: MD5, nombre, tipo de archivo, tamaño y ssdeep.
2. Entonces, la dependencia de los archivos: entonces la información de los archivos (solo se aplicó para archivos dinámicos vinculados).
3. Información de cadenas.
4. Encabezado elf y punto de entrada.
5. IP y puertos
6. Segmento de elfo, sección y hash.
7. Nombres de archivo de origen.

1. Inicio y terminación: sellos de tiempo y tiempo transcurrido.
2. Información de procesos: clon, ejecutar y salir, etc.
3. E/S de archivo: Abra, lea, escriba y elimine, etc.
4. Red: TCP, UDP, HTTP y HTTP, etc.
5. Acciones málicas típicas: auto -deleción, media y bloqueo.
6. Información de la API: GetPID, System, DUP y otras funciones LIBC.
7. secuencias de syscall.

1. El informe HTML.

2. El informe JSON.

La herramienta se ejecutará en Virtualbox 5.1 con Ubuntu 14.04 LTS.

Para instalar el software THRID Party, ejecute el siguiente comando después de obtener el código:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

En primer lugar, cargue el código fuente en la VM. Ejecute el siguiente comando con permiso raíz en el directorio /raíz.

cp -ra /media/sf_Source/ * .

El comando compilará y empaquetará el código fuente, y luego generará dos archivos zip.

bash package.sh

usando ./test/bin/read.32.elf para hacer una prueba. El segundo comando copiará el informe y registrará fuera de la VM.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Entre el resultado, output.static es el resultado del análisis estático, output.dynamic es el resultado del análisis dinámico y system.log es el registro de tiempo de ejecución. Los usuarios también pueden cargar muestras en el sistema de análisis de malware Habo (https://habo.qq.com) para obtener un breve informe.

1. [Hecho] Análisis de memoria.
2. Más reglas de Yara (./utils/yara/malware/)
3. [hecho] formato de salida HTML

1. El análisis de malware debe realizarse dentro de un entorno de máquina virtual e Intel-VT debe habilitarse en el BIOS del host. No seremos responsables del daño del malware analizado.
2. Se recomienda Virtualbox 5.1.
3. La herramienta también generará un registro dinámico, que contiene un mensaje de error, para archivos ELF que no se pueden ejecutar, como los archivos SO.

Habomalhunter es un subproyecto de código abierto del sistema de análisis Hubble (https://habo.qq.com), una herramienta de código abierto para el análisis automatizado y la detección de seguridad de archivos en la plataforma Linux. El uso de esta herramienta puede ayudar a los analistas de seguridad a obtener características de comportamiento estáticas y dinámicas de muestras maliciosas de manera concisa y eficiente. El informe de análisis proporciona información clave como procesos, archivos, redes y llamadas al sistema.

El código fuente abierto admite un análisis dinámico estático automatizado de archivos ELF en las plataformas Linux X86/X64.

1. Información básica: incluyendo archivo MD5, nombre, tipo, tamaño y SSDEEP.
2. Dependencia de SO Información: para archivos vinculados dinámicamente, la salida de la salida depende de la información.
3. Información de cadena
4. Información del encabezado Elf, punto de entrada
5. Información de IP y puerto
6. Información del segmento ELF, información de sección y valor hash
7. Nombre de archivo de origen

1. Información final del inicio de operación dinámica: lento, etc.
2. Información del proceso: llamada del sistema clon, llamadas ejecutadas, finalización de creación de procesos, etc.
3. Información de operación del archivo: Abra, lea, modifique, elimine y otras operaciones de archivo IO
4. Información de la red: TCP, UDP, HTTP, HTTPS, SSL y otra información
5. Comportamiento malicioso típico: autoselización, auto-modificación y auto-bloqueo, etc.
6. Información de la API: GetPID, System, DUP y otras llamadas a la función LIBC
7. Información de secuencia syscall

El uso de la versión de código abierto de Hubble Linux para el análisis de virus requiere primero crear un entorno de máquina virtual para ejecutar virus. Nunca ejecute y analice los virus directamente en entornos reales. El proyecto utiliza Virtualbox 5.1 para ejecutar Ubuntu 14.04 LTS como el entorno analítico de forma predeterminada.

Instale el software relevante y obtenga el código fuente, ejecute el siguiente comando como root en la máquina virtual:

root# cd ./util/update_image
root# bash update_image.sh

Use herramientas GIT para obtener el código fuente.

git clone https://github.com/Tencent/HaboMalHunter.git

La mayor parte del código fuente es Python, y parte del código C debe ser compilado y empaquetado. Primero cargue el código a la máquina virtual. Use identidad raíz y use comandos en el directorio / root /, como se muestra en la figura:

cp -ra /media/sf_Source/ * .

Ejecute el comando, compile y paquete, y emita dos archivos, analzeControl_1129.zip y test_1129.zip, como se muestra en la figura:

bash package.sh

Esta vez, utilizamos el archivo de prueba ./test/bin/read.32.elf para pruebas. Use el siguiente comando: el segundo comando copiará los resultados del análisis fuera de la máquina virtual y los analistas utilizarán para leer.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

En los resultados del análisis, la salida.static es el resultado del análisis estático, la salida.dynamic es el resultado de análisis dinámico y el sistema.log es el registro de tiempo de ejecución. Al mismo tiempo, el análisis de muestras también se puede realizar en combinación con la visualización de resultados en el sistema de análisis Hubble (https://habo.qq.com).

1. [Completado] Desea usar volátiles y cal para el análisis de memoria
2. Espero agregar más reglas de virus (./util/yara/malware)
3. [Completado] Espero convertir el formato de datos JSON de salida en la página HTML para mostrar

1. Para analizar los virus, realizarlos en un entorno de máquina virtual y habilitar la función Intel-VT en la configuración del BIOS. Este proyecto no asume ninguna responsabilidad por ningún problema de seguridad de software causado por la ejecución de virus.
2. Se recomienda usar Virtualbox 5.1 o superior para ejecutar máquinas virtuales.
3. Para los archivos ELF que no se pueden ejecutar, como los archivos SO, el sistema de análisis Hubble generará registros dinámicos de forma predeterminada, pero solo hay mensajes de error que no se pueden ejecutar.