HaboMalHunter

(Veuillez voir la version chinoise ici)

Le programme d'incitation open source de Tencent encourage la participation et les contributions des développeurs et attend avec impatience votre rejoindre.

HabomalHunter est un sous-projet du système d'analyse de logiciels malveillants HABO (https://habo.qq.com), qui peut être utilisé pour l'analyse des logiciels malveillants automatisés et l'évaluation de la sécurité sur le système Linux. L'outil aide à la sécurité analyser l'extraction des fonctionnalités statiques et dynamiques de malware efficacement et efficacement. Le rapport généré fournit des informations importantes sur le processus, le fichier d'E / S, le réseau et les appels système.

L'outil peut être utilisé pour l'analyse statique et dynamique des fichiers ELF sur la plate-forme Linux X86 / X64.

1. Informations de base: MD5, nom, type de fichier, taille et ssdeep.
2. Donc, la dépendance des fichiers: donc les informations sur les fichiers (appliqués uniquement aux fichiers liés dynamiques).
3. Informations sur les cordes.
4. En-tête ELF et point d'entrée.
5. IP et ports
6. Segment Elf, section et hachage.
7. Noms de fichiers source.

1. Démarrage et résiliation: horodatage et temps écoulé.
2. Processus Informations: clone, exécution et sortie, etc.
3. Fichier E / S: ouvrir, lire, écrire et supprimer, etc.
4. Réseau: TCP, UDP, HTTP et HTTPS, etc.
5. Actions malines typiques: auto-délétion, médification et verrouillage.
6. Informations sur l'API: Fonctions GetPid, System, DUP et autres LIBC.
7. Séquences syscall.

1. Le rapport HTML.

2. Le rapport JSON.

L'outil s'exécutera sur VirtualBox 5.1 avec Ubuntu 14.04 LTS.

Afin d'installer Thrid Party Software, veuillez exécuter la commande suivante après avoir obtenu le code:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Tout d'abord, veuillez télécharger le code source dans la machine virtuelle. Exécutez la commande suivante avec l'autorisation racine sous le répertoire / racine.

cp -ra /media/sf_Source/ * .

La commande compilera et emballera le code source, puis générera deux fichiers zip.

bash package.sh

Utilisation ./test/bin/read.32.elf pour faire un test. La deuxième commande copiera le rapport et la connexion en dehors de la machine virtuelle.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Parmi le résultat, output.static est le résultat de l'analyse statique, output.dynamic est un résultat d'analyse dynamique et system.log est le log de l'exécution. Les utilisateurs peuvent également télécharger des échantillons sur le système d'analyse de logiciels malveillants HABO (https://habo.qq.com) pour obtenir un bref rapport.

1. [FAIT] Analyse de la mémoire.
2. Plus de règles Yara (./utils/yara/malware/)
3. [Terminé] Format de sortie HTML

1. L'analyse des logiciels malveillants doit être effectuée dans un environnement de machine virtuelle et Intel-VT doit être activé sur le BIOS de l'hôte. Nous ne serons pas responsables des dommages des logiciels malveillants analysés.
2. VirtualBox 5.1 est recommandé.
3. L'outil générera également un journal dynamique, qui contient un message d'erreur, pour les fichiers ELF qui ne peuvent pas être exécutés, tels que les fichiers donc.

HabomalHunter est un sous-projet open source du système d'analyse Hubble (https://habo.qq.com), un outil open source pour l'analyse automatisée et la détection de sécurité des fichiers sous la plate-forme Linux. L'utilisation de cet outil peut aider les analystes de sécurité à obtenir des caractéristiques de comportement statique et dynamique des échantillons malveillants de manière concise et efficace. Le rapport d'analyse fournit des informations clés telles que les processus, les fichiers, les réseaux et les appels système.

Le code open source prend en charge l'analyse dynamique statique automatisée des fichiers ELF sur les plates-formes Linux X86 / X64.

1. Informations de base: y compris le fichier MD5, nom, type, taille et ssdeep.
2. Dépendance So Informations: Pour les fichiers liés dynamiquement, la sortie dépendante des informations.
3. Informations sur les cordes
4. Informations sur l'en-tête ELF, point d'entrée
5. Informations sur la propriété intellectuelle et le port
6. Informations sur le segment ELF, informations sur la section et valeur de hachage
7. Nom de fichier source

1. Informations sur la fin du démarrage de l'opération dynamique: chronophage, etc.
2. Informations sur le processus: appel du système de clone, appel de l'exécution, fin de création de processus, etc.
3. Informations sur l'opération de fichier: ouvrir, lire, modifier, supprimer et d'autres opérations de fichiers IO
4. Informations sur le réseau: TCP, UDP, HTTP, HTTPS, SSL et autres informations
5. Comportement malveillant typique: auto-délétion, auto-modification et auto-verrouillage, etc.
6. Informations sur l'API: GetPid, System, DUP et autres appels de fonction LIBC
7. Informations sur la séquence syscall

L'utilisation de la version open source de Hubble Linux pour l'analyse des virus nécessite d'abord de créer un environnement de machine virtuelle pour exécuter des virus. Ne pas exécuter et analyser les virus directement dans des environnements réels. Le projet utilise VirtualBox 5.1 pour exécuter Ubuntu 14.04 LTS comme environnement analytique par défaut.

Installez le logiciel pertinent et obtenez le code source, veuillez exécuter la commande suivante comme racine dans la machine virtuelle:

root# cd ./util/update_image
root# bash update_image.sh

Utilisez des outils GIT pour obtenir le code source.

git clone https://github.com/Tencent/HaboMalHunter.git

La majeure partie du code source est Python, et une partie du code C doit être compilée et emballée. Téléchargez d'abord le code sur la machine virtuelle. Utilisez l'identité racine et utilisez les commandes dans le répertoire / root /, comme indiqué sur la figure:

cp -ra /media/sf_Source/ * .

Exécutez la commande, compiler et package et sortir deux fichiers, analyseControl_1129.zip et test_1129.zip, comme indiqué sur la figure:

bash package.sh

Cette fois, nous avons utilisé le fichier de test ./test/bin/read.32.elf pour les tests. Utilisez la commande suivante: La deuxième commande copiera les résultats de l'analyse en dehors de la machine virtuelle et sera utilisé par les analystes à lire.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Dans les résultats de l'analyse, Output.Static est le résultat de l'analyse statique, Output.Dynamic est le résultat de l'analyse dynamique, et System.log est le journal d'exécution. Dans le même temps, l'analyse des échantillons peut également être effectuée en combinaison avec l'affichage des résultats dans le système d'analyse Hubble (https://habo.qq.com).

1. [Terminé] Vous voulez utiliser volatile et chaux pour l'analyse de la mémoire
2. J'espère ajouter plus de règles de virus (./util/yara/malware)
3. [Terminé] J'espère convertir le format de données JSON de sortie en page HTML pour afficher

1. Pour analyser les virus, veuillez les effectuer dans un environnement de machine virtuelle et activer la fonction Intel-VT dans les paramètres du BIOS. Ce projet n'assume aucune responsabilité pour les problèmes de sécurité logicielle causés par l'exécution de virus.
2. Il est recommandé d'utiliser VirtualBox 5.1 ou plus pour exécuter des machines virtuelles.
3. Pour les fichiers ELF qui ne peuvent pas être exécutés, tels que les fichiers ainsi, le système d'analyse Hubble générera des journaux dynamiques par défaut, mais il n'y a que des messages d'erreur qui ne peuvent pas être exécutés.