HaboMalHunter

(여기에서 중국어 버전을 참조하십시오)

Tencent의 오픈 소스 인센티브 프로그램은 개발자의 참여와 기여를 장려하고 참여를 기대합니다.

Habomalhunter는 Habo 맬웨어 분석 시스템 (https://habo.qq.com)의 하위 프로젝트로 Linux 시스템의 자동화 된 맬웨어 분석 및 보안 평가에 사용할 수 있습니다. 이 도구는 보안이 맬웨어에서 효과적이고 효율적으로 정적 및 동적 기능을 추출하는 데 도움이됩니다. 생성 된 보고서는 프로세스, 파일 I/O, 네트워크 및 시스템 호출에 대한 중요한 정보를 제공합니다.

이 도구는 Linux X86/X64 플랫폼의 ELF 파일의 정적 및 동적 분석에 사용할 수 있습니다.

1. 기본 정보 : MD5, 이름, 파일 유형, 크기 및 SSDEEP.
2. 따라서 파일 종속성 : 따라서 파일 정보 (동적 링크 된 파일에만 적용됨).
3. 문자열 정보.
4. 엘프 헤더 및 진입 점.
5. IP 및 포트
6. 엘프 세그먼트, 섹션 및 해시.
7. 소스 파일 이름.

1. 시작 및 종료 : 타임 스탬프 및 경과 시간.
2. 프로세스 정보 : 복제, 실행 및 종료 등
3. 파일 I/O : 열고 읽기, 쓰기 및 삭제 등
4. 네트워크 : TCP, UDP, HTTP 및 HTTPS 등
5. 전형적인 악의적 인 행동 : 자기 삭제, 중재 및 잠금.
6. API 정보 : GetPid, 시스템, DUP 및 기타 LIBC 기능.
7. SYSCALL 시퀀스.

1. HTML 보고서.

2. JSON 보고서.

이 도구는 Ubuntu 14.04 LTS와 함께 VirtualBox 5.1에서 실행됩니다.

Thrid Party 소프트웨어를 설치하려면 코드를 얻은 후 다음 명령을 실행하십시오.

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

먼저 소스 코드를 VM에 업로드하십시오. /루트 디렉토리에서 루트 권한으로 다음 명령을 실행하십시오.

cp -ra /media/sf_Source/ * .

명령은 소스 코드를 컴파일하고 포장 한 다음 두 개의 zip 파일을 생성합니다.

bash package.sh

./test/bin/read.32.elf 사용하여 테스트를 수행합니다. 두 번째 명령은 보고서를 복사하고 VM 외부에 로그인합니다.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

결과 중 output.static 정적 분석 결과, output.dynamic 동적 분석 결과이며 system.log 런타임 로그입니다. 사용자는 샘플을 HABO 맬웨어 분석 시스템 (https://habo.qq.com)에 업로드하여 간단한 보고서를받을 수도 있습니다.

1. [완료] 메모리 분석.
2. 더 많은 야라 규칙 (./utils/yara/malware/)
3. [완료] HTML 출력 형식

1. 맬웨어 분석은 가상 머신 환경 내에서 수행해야하며 호스트의 BIOS에서 인텔 VT를 활성화해야합니다. 우리는 분석 된 맬웨어의 손상에 대해 책임을지지 않습니다.
2. VirtualBox 5.1이 권장됩니다.
3. 이 도구는 SO 파일과 같이 실행할 수없는 ELF 파일에 대해 하나의 오류 메시지가 포함 된 동적 로그를 생성합니다.

Habomalhunter는 Linux 플랫폼에서 자동화 된 분석 및 파일 보안 감지를위한 오픈 소스 도구 인 Hubble Analysis System (https://habo.qq.com)의 오픈 소스 하위 프로젝트입니다. 이 도구를 사용하면 보안 분석가가 간결하고 효율적인 방식으로 악의적 인 샘플의 정적 및 동적 행동 특성을 얻는 데 도움이 될 수 있습니다. 분석 보고서는 프로세스, 파일, 네트워크 및 시스템 호출과 같은 주요 정보를 제공합니다.

오픈 소스 코드는 Linux X86/X64 플랫폼의 ELF 파일의 자동 정적 동적 분석을 지원합니다.

1. 기본 정보 : 파일 MD5, 이름, 유형, 크기 및 SSDEEP 포함.
2. 종속성 So Information : 동적으로 연결된 파일의 경우 출력에 따라 정보를 제공합니다.
3. 문자열 정보
4. 엘프 헤더 정보, 진입 점
5. IP 및 포트 정보
6. 엘프 세그먼트 정보, 섹션 정보 및 해시 값
7. 소스 파일 이름

1. 동적 작업 시작 엔드 정보 : 시간 소모 등
2. 프로세스 정보 : 복제 시스템 호출, 통화 실행, 프로세스 생성 종료 등
3. 파일 작동 정보 : 열고 읽기, 수정, 삭제 및 기타 파일 IO 작업
4. 네트워크 정보 : TCP, UDP, HTTP, HTTPS, SSL 및 기타 정보
5. 전형적인 악의적 인 행동 : 자기 삭제, 자기 변형 및 자기 잠금 등
6. API 정보 : GetPid, 시스템, DUP 및 기타 LIBC 기능 호출
7. SYSCALL 시퀀스 정보

바이러스 분석에 Hubble Linux 오픈 소스 버전을 사용하려면 먼저 바이러스를 실행하기위한 가상 기계 환경을 만들어야합니다. 실제 환경에서 바이러스를 직접 실행하고 분석하지 마십시오. 이 프로젝트는 VirtualBox 5.1을 사용하여 기본적으로 Ubuntu 14.04 LTS를 실행합니다.

관련 소프트웨어를 설치하고 소스 코드를 얻으십시오. 가상 머신에서 다음 명령을 루트로 실행하십시오.

root# cd ./util/update_image
root# bash update_image.sh

GIT 도구를 사용하여 소스 코드를 얻으십시오.

git clone https://github.com/Tencent/HaboMalHunter.git

소스 코드의 대부분은 Python이며 일부 C 코드는 컴파일 및 포장되어야합니다. 먼저 가상 시스템에 코드를 업로드하십시오. 그림과 같이 / root / 디렉토리에서 루트 아이덴티티를 사용하고 사용 명령을 사용하십시오.

cp -ra /media/sf_Source/ * .

그림과 같이 명령, 컴파일 및 패키지를 실행하고 AnalyzeControl_1129.zip 및 test_1129.zip의 두 파일을 출력하십시오.

bash package.sh

이번에는 테스트 파일을 사용했습니다 ./test/bin/read.32. 테스트에 사용했습니다. 다음 명령을 사용하십시오. 두 번째 명령은 가상 시스템 외부의 분석 결과를 복사하고 분석가가 읽을 수 있습니다.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

분석 결과에서 output.static은 정적 분석 결과, output.dynamic은 동적 분석 결과이며 System.log는 런타임 로그입니다. 동시에, 샘플 분석은 허블 분석 시스템 (https://habo.qq.com)의 결과 표시와 함께 수행 할 수 있습니다.

1. [완료] 메모리 분석에 휘발성 및 라임을 사용하고 싶습니다.
2. 더 많은 바이러스 규칙을 추가하기를 바랍니다 (./util/yara/malware)
3. [완료] 출력 JSON 데이터 형식을 디스플레이를 위해 HTML 페이지로 변환하고 싶습니다.

1. 바이러스를 분석하려면 가상 기계 환경에서 바이러스를 수행하고 BIOS 설정에서 Intel-VT 기능을 활성화하십시오. 이 프로젝트는 바이러스를 실행하여 발생하는 소프트웨어 보안 문제에 대해 책임을지지 않습니다.
2. VirtualBox 5.1 이상을 사용하여 가상 머신을 실행하는 것이 좋습니다.
3. SO 파일과 같이 실행할 수없는 ELF 파일의 경우 Hubble Analysis 시스템은 기본적으로 동적 로그를 생성하지만 실행할 수없는 오류 메시지 만 있습니다.