HaboMalHunter

（こちらの中国語版をご覧ください）

Tencentのオープンソースインセンティブプログラムは、開発者の参加と貢献を奨励しており、参加を楽しみにしています。

Habomalhunterは、Habo Malware Analysis System（https://habo.qq.com）のサブプロジェクトであり、Linuxシステムでの自動化されたマルウェア分析とセキュリティ評価に使用できます。このツールは、セキュリティがマルウェアからの静的機能と動的機能を効果的かつ効率的に抽出するのに役立ちます。生成されたレポートは、プロセス、ファイルI/O、ネットワーク、およびシステムコールに関する重要な情報を提供します。

このツールは、Linux X86/X64プラットフォーム上のELFファイルの静的および動的分析に使用できます。

1. 基本情報：MD5、名前、ファイルタイプ、サイズ、SSDEEP。
2. したがって、ファイルの依存関係：したがって、ファイル情報（動的リンクされたファイルにのみ適用されます）。
3. 文字列情報。
4. ELFヘッダーとエントリポイント。
5. IPおよびポート
6. ELFセグメント、セクション、ハッシュ。
7. ソースファイル名。

1. 開始と終了：タイムスタンプと経過時間。
2. 情報を処理する：クローン、執行、出口など。
3. ファイルI/O：開き、読み取り、書き込み、削除など。
4. ネットワーク：TCP、UDP、HTTP、HTTPSなど。
5. 典型的な悪意のある行動：自己削除、中間、ロック。
6. API情報：getPID、システム、DUP、その他のLIBC関数。
7. syscallシーケンス。

1. HTMLレポート。

2. JSONレポート。

このツールは、Ubuntu 14.04 LTSを使用してVirtualBox 5.1で実行されます。

Thrid Partyソフトウェアをインストールするには、コードを取得した後、次のコマンドを実行してください。

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

まず、ソースコードをVMにアップロードしてください。 /rootディレクトリの下でルート許可を得て次のコマンドを実行します。

cp -ra /media/sf_Source/ * .

コマンドはソースコードをコンパイルしてパッケージ化し、2つのZIPファイルを生成します。

bash package.sh

./test/bin/read.32.elfを使用してテストを行います。 2番目のコマンドは、レポートをコピーしてVMの外側にログを記録します。

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

結果の中で、 output.staticは静的分析結果、 output.dynamicは動的分析結果であり、 system.logはランタイムログです。ユーザーは、サンプルをHabo Malware Analysis System（https://habo.qq.com）にアップロードして、簡単なレポートを取得することもできます。

1. [完了]メモリ分析。
2. その他のYaraルール（./utils/yara/malware/）
3. [完了] HTML出力形式

1. マルウェア分析は仮想マシン環境内で行う必要があり、Intel-VTはホストのBIOSで有効にする必要があります。分析されたマルウェアの損傷について責任を負いません。
2. VirtualBox 5.1をお勧めします。
3. このツールは、SOファイルなど、実行できないELFファイルの1つのエラーメッセージを含む動的ログも生成します。

Habomalhunterは、Linuxプラットフォームでの自動分析とファイルセキュリティ検出のためのオープンソースツールであるHubble Analysis System（https://habo.qq.com）のオープンソースサブプロジェクトです。このツールを使用すると、セキュリティアナリストが簡潔で効率的な方法で悪意のあるサンプルの静的および動的な動作特性を取得するのに役立ちます。分析レポートは、プロセス、ファイル、ネットワーク、システムコールなどの重要な情報を提供します。

オープンソースコードは、Linux X86/X64プラットフォーム上のELFファイルの自動静的動的分析をサポートしています。

1. 基本情報：ファイルMD5、名前、タイプ、サイズ、SSDEEPを含む。
2. 依存関係情報：動的にリンクされたファイルの場合、出力依存情報情報。
3. 文字列情報
4. ELFヘッダー情報、エントリポイント
5. IPおよびポート情報
6. ELFセグメント情報、セクション情報、およびハッシュ値
7. ソースファイル名

1. 動的操作の起動終了情報：時間がかかるなど。
2. プロセス情報：クローンシステムコール、execveコール、プロセス作成の終了など。
3. ファイルの操作情報：開き、読み取り、変更、削除、その他のファイルIO操作
4. ネットワーク情報：TCP、UDP、HTTP、HTTPS、SSLおよびその他の情報
5. 典型的な悪意のある行動：自己排除、自己修正、セルフロックなど。
6. API情報：getPid、システム、DUP、その他のLIBC関数呼び出し
7. Syscallシーケンス情報

ウイルス分析にハッブルLinuxオープンソースバージョンを使用するには、最初にウイルスを実行するための仮想マシン環境を作成する必要があります。実際の環境でウイルスを直接実行して分析しないでください。このプロジェクトでは、VirtualBox 5.1を使用して、デフォルトでは分析環境としてUbuntu 14.04 LTSを実行します。

関連するソフトウェアをインストールしてソースコードを取得するには、次のコマンドを仮想マシンのルートとして実行してください。

root# cd ./util/update_image
root# bash update_image.sh

GITツールを使用してソースコードを取得します。

git clone https://github.com/Tencent/HaboMalHunter.git

ソースコードのほとんどはPythonであり、Cコードの一部をコンパイルしてパッケージ化する必要があります。最初にコードを仮想マシンにアップロードします。図に示すように、 / root /ディレクトリでルートIDと使用を使用します。

cp -ra /media/sf_Source/ * .

図に示すように、コマンド、コンパイル、パッケージ、および2つのファイル、Analyzecontrol_1129.zipおよびtest_1129.zipを出力します。

bash package.sh

今回は、テストにテストファイル./test/bin/read.32.elfを使用しました。次のコマンドを使用します。2番目のコマンドは、仮想マシンの外側の分析結果をコピーし、アナリストが読むために使用します。

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

分析結果では、出力。staticは静的分析結果、output.dynamicは動的分析結果、およびsystem.logはランタイムログです。同時に、サンプル分析は、ハッブル分析システム（https://habo.qq.com）の結果表示と組み合わせて実行することもできます。

1. [完了]記憶分析に揮発性と石灰を使用したい
2. さらにウイルスルールを追加したい（./util/yara/malware）
3. [完了]ディスプレイのために出力JSONデータ形式をHTMLページに変換したい

1. ウイルスを分析するには、仮想マシン環境でそれらを実行し、BIOS設定でIntel-VT機能を有効にしてください。このプロジェクトは、ウイルスを実行することによって引き起こされるソフトウェアセキュリティの問題について一切責任を負いません。
2. 仮想マシンを実行するためにVirtualBox 5.1以上を使用することをお勧めします。
3. SOファイルなど、実行できないELFファイルの場合、ハッブル分析システムはデフォルトで動的ログを生成しますが、実行できないエラーメッセージのみがあります。