HaboMalHunter

(Silakan lihat versi Cina di sini)

Program insentif open source Tencent mendorong partisipasi dan kontribusi pengembang, dan menantikan bergabung Anda.

Habomalhunter adalah sub-proyek sistem analisis malware HABO (https://habo.qq.com), yang dapat digunakan untuk analisis malware otomatis dan penilaian keamanan pada sistem Linux. Alat ini membantu keamanan menganalisis mengekstraksi fitur statis dan dinamis dari malware secara efektif dan efisien. Laporan yang dihasilkan memberikan informasi signifikan tentang proses, file I/O, panggilan jaringan dan sistem.

Alat ini dapat digunakan untuk analisis statis dan dinamis dari file ELF pada platform Linux X86/X64.

1. Informasi Dasar: MD5, Nama, Jenis File, Ukuran, dan SSDeep.
2. Jadi ketergantungan file: jadi file informasi (hanya diterapkan untuk file tertaut dinamis).
3. Informasi String.
4. Header dan titik masuk ELF.
5. IP dan port
6. Segmen peri, bagian dan hash.
7. Nama file sumber.

1. Mulai dan Penghentian: Perangko waktu dan waktu berlalu.
2. Proses Informasi: Klon, EXECVE dan EXIT dll.
3. File I/O: Buka, Baca, Tulis dan Hapus dll.
4. Jaringan: TCP, UDP, HTTP dan HTTPS dll.
5. Tindakan Malicous Khas: Penghapusan Diri, Midifikasi dan Kunci.
6. Informasi API: GetPid, Sistem, DUP dan fungsi LIBC lainnya.
7. Urutan Syscall.

1. Laporan HTML.

2. Laporan JSON.

Alat ini akan berjalan di VirtualBox 5.1 dengan Ubuntu 14.04 LTS.

Untuk menginstal perangkat lunak Partai Thrid, harap jalankan perintah berikut setelah mendapatkan kode:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Pertama, silakan unggah kode sumber ke VM. Jalankan perintah berikut dengan izin root di bawah direktori /root.

cp -ra /media/sf_Source/ * .

Perintah akan menyusun dan mengemas kode sumber, dan kemudian akan menghasilkan dua file zip.

bash package.sh

menggunakan ./test/bin/read.32.elf untuk melakukan tes. Perintah kedua akan menyalin laporan dan log di luar VM.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Di antara hasilnya, output.static adalah hasil analisis statis, output.dynamic adalah hasil analisis dinamis, dan system.log adalah runtime log. Pengguna juga dapat mengunggah sampel ke sistem analisis malware Habo (https://habo.qq.com) untuk mendapatkan laporan singkat.

1. [Selesai] Analisis Memori.
2. Aturan yara lainnya (./utils/yara/malware/)
3. [selesai] Format output HTML

1. Analisis malware harus dilakukan di dalam lingkungan mesin virtual dan Intel-VT harus diaktifkan pada BIOS host. Kami tidak akan bertanggung jawab atas kerusakan malware yang dianalisis.
2. VirtualBox 5.1 direkomendasikan.
3. Alat ini juga akan menghasilkan log dinamis, yang berisi satu pesan kesalahan, untuk file ELF yang tidak dapat dieksekusi, seperti file SO.

Habomalhunter adalah sub-proyek open source dari Sistem Analisis Hubble (https://habo.qq.com), alat open source untuk analisis otomatis dan deteksi keamanan file di bawah platform Linux. Menggunakan alat ini dapat membantu analis keamanan untuk mendapatkan karakteristik perilaku statis dan dinamis dari sampel jahat dengan cara yang ringkas dan efisien. Laporan analisis memberikan informasi utama seperti proses, file, jaringan, dan panggilan sistem.

Kode sumber terbuka mendukung analisis dinamis statis otomatis file ELF pada platform Linux X86/X64.

1. Informasi Dasar: Termasuk File MD5, Nama, Jenis, Ukuran, dan SSDeep.
2. Ketergantungan Informasi: Untuk file yang ditautkan secara dinamis, output tergantung informasi.
3. Informasi string
4. Informasi Header Peri, Titik Masuk
5. Informasi IP dan Port
6. Informasi Segmen Peri, Informasi Bagian dan Nilai Hash
7. Nama file sumber

1. Operasi Dinamis Informasi Akhir Start-Up: Memakan waktu, dll.
2. Informasi Proses: Panggilan Sistem Klon, Panggilan EXECVE, Ujung Pembuatan Proses, dll.
3. Informasi Operasi File: Buka, Baca, Modifikasi, Hapus dan Operasi IO File Lainnya
4. Informasi Jaringan: TCP, UDP, HTTP, HTTPS, SSL dan Informasi Lainnya
5. Perilaku jahat yang khas: penghapusan diri, modifikasi diri dan penguncian diri, dll.
6. Informasi API: GetPid, Sistem, DUP, dan panggilan fungsi LIBC lainnya
7. Informasi Urutan Syscall

Menggunakan Hubble Linux Versi Sumber Terbuka untuk Analisis Virus Membutuhkan terlebih dahulu menciptakan lingkungan mesin virtual untuk menjalankan virus. Jangan pernah menjalankan dan menganalisis virus secara langsung di lingkungan nyata. Proyek ini menggunakan VirtualBox 5.1 untuk menjalankan Ubuntu 14.04 LTS sebagai lingkungan analitik secara default.

Instal perangkat lunak yang relevan dan dapatkan kode sumber, silakan jalankan perintah berikut sebagai root di mesin virtual:

root# cd ./util/update_image
root# bash update_image.sh

Gunakan alat git untuk mendapatkan kode sumber.

git clone https://github.com/Tencent/HaboMalHunter.git

Sebagian besar kode sumber adalah Python, dan beberapa kode C perlu dikompilasi dan dikemas. Pertama unggah kode ke mesin virtual. Gunakan identitas root dan gunakan perintah di / root / direktori, seperti yang ditunjukkan pada gambar:

cp -ra /media/sf_Source/ * .

Jalankan perintah, kompilasi dan paket, dan output dua file, analisiskontrol_1129.zip dan test_1129.zip, seperti yang ditunjukkan pada gambar:

bash package.sh

Kali ini, kami menggunakan file uji ./test/bin/read.32.elf untuk pengujian. Gunakan perintah berikut: Perintah kedua akan menyalin hasil analisis di luar mesin virtual dan digunakan oleh analis untuk membaca.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Dalam hasil analisis, output.static adalah hasil analisis statis, output.dynamic adalah hasil analisis dinamis, dan System.log adalah log runtime. Pada saat yang sama, analisis sampel juga dapat dilakukan dalam kombinasi dengan tampilan hasil dalam sistem analisis Hubble (https://habo.qq.com).

1. [Selesai] Ingin menggunakan volatil dan kapur untuk analisis memori
2. Berharap untuk menambahkan lebih banyak aturan virus (./util/yara/malware)
3. [Selesai] Saya berharap dapat mengubah format data JSON output menjadi halaman HTML untuk ditampilkan

1. Untuk menganalisis virus, silakan lakukan di lingkungan mesin virtual dan mengaktifkan fungsi Intel-VT dalam pengaturan BIOS. Proyek ini tidak bertanggung jawab atas masalah keamanan perangkat lunak apa pun yang disebabkan oleh menjalankan virus.
2. Disarankan untuk menggunakan VirtualBox 5.1 atau lebih tinggi untuk menjalankan mesin virtual.
3. Untuk file ELF yang tidak dapat dijalankan, seperti file SO, Sistem Analisis Hubble akan menghasilkan log dinamis secara default, tetapi hanya ada pesan kesalahan yang tidak dapat dijalankan.