HaboMalHunter

(Por favor, veja a versão chinesa aqui)

O programa de incentivo de código aberto da Tencent incentiva a participação e as contribuições dos desenvolvedores e aguarda ansiosamente sua união.

O Habomalhunter é um sub-projeto do sistema de análise de malware HABO (https://habo.qq.com), que pode ser usado para análise automatizada de malware e avaliação de segurança no sistema Linux. A ferramenta ajuda a segurança a analisar a extração dos recursos estáticos e dinâmicos de malware de maneira eficaz e eficiente. O relatório gerado fornece informações significativas sobre processo, E/S de arquivo, rede e chamadas do sistema.

A ferramenta pode ser usada para a análise estática e dinâmica dos arquivos ELF na plataforma Linux X86/X64.

1. Informações básicas: md5, nome, tipo de arquivo, tamanho e ssdeep.
2. Portanto, dependência de arquivos: então arquivos informações (aplicadas apenas para arquivos vinculados dinâmicos).
3. Informação das cordas.
4. Cabeçalho de elfo e ponto de entrada.
5. IP e portas
6. Segmento de elfo, seção e hash.
7. Nomes de arquivos de origem.

1. Início e terminação: carimbos de hora e tempo decorrido.
2. Processos Informações: clone, execute e saída etc.
3. E/S do arquivo: abra, leia, escreva e exclua etc.
4. Rede: TCP, UDP, HTTP e HTTPS etc.
5. Ações malicadas típicas: auto -deleção, média e bloqueio.
6. Informações da API: GETPID, SYSTEM, DUP e outras funções da LIBC.
7. Sequências Syscall.

1. O relatório HTML.

2. O relatório JSON.

A ferramenta será executada no VirtualBox 5.1 com o Ubuntu 14.04 LTS.

Para instalar o software Thrid Party, execute o seguinte comando após obter o código:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Em primeiro lugar, envie o código -fonte na VM. Execute o seguinte comando com permissão root no diretório /root.

cp -ra /media/sf_Source/ * .

O comando compilará e empacotará o código -fonte e, em seguida, gerará dois arquivos ZIP.

bash package.sh

usando ./test/bin/read.32.elf para fazer um teste. O segundo comando copiará o relatório e registrará fora da VM.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Entre o resultado, output.static é o resultado da análise estática, system.log output.dynamic . Os usuários também podem fazer upload de amostras para o sistema de análise de malware HABO (https://habo.qq.com) para obter um breve relatório.

1. [done] Análise de memória.
2. Mais regras Yara (./utils/yara/malware/)
3. [feito] Formato de saída HTML

1. A análise de malware deve ser feita dentro de um ambiente de máquina virtual e a Intel-VT deve ser ativada no BIOS do host. Não seremos responsáveis ​​pelos danos do malware analisado.
2. VirtualBox 5.1 é recomendado.
3. A ferramenta também gerará log dinâmico, que contém uma mensagem de erro, para arquivos ELF que não podem ser executados, como os arquivos SO.

O Habomalhunter é um sub-projeto de código aberto do sistema de análise Hubble (https://habo.qq.com), uma ferramenta de código aberto para análise automatizada e detecção de segurança de arquivos na plataforma Linux. O uso dessa ferramenta pode ajudar os analistas de segurança para obter características de comportamento estáticas e dinâmicas de amostras maliciosas de maneira concisa e eficiente. O relatório de análise fornece informações importantes, como processos, arquivos, redes e chamadas do sistema.

O código -fonte aberto suporta análise dinâmica estática automatizada de arquivos ELF nas plataformas Linux x86/x64.

1. Informações básicas: incluindo arquivo md5, nome, tipo, tamanho e ssdeep.
2. Dependência SO INFORMAÇÃO: Para arquivos vinculados dinamicamente, dependente da saída para obter informações.
3. Informações sobre string
4. Informações do cabeçalho do elfo, ponto de entrada
5. Informações de IP e porta
6. Informações do segmento de ELF, informação de seção e valor de hash
7. Nome do arquivo de origem

1. Operação dinâmica Informações finais para iniciantes: demorado, etc.
2. Informações do processo: CLONE SISTEM CHAMADA, EXECVE CHAMADA, CRIAÇÃO DE PROCESSO ETC.
3. Informações sobre operação do arquivo: Abrir, ler, modificar, excluir e outras operações de IO de arquivo
4. Informações de rede: TCP, UDP, HTTP, HTTPS, SSL e outras informações
5. Comportamento malicioso típico: autodegião, auto-modificação e auto-bloqueio, etc.
6. Informações da API: getpid, sistema, dup e outras chamadas de função libc
7. Informações sobre sequência de syscall

O uso da versão de código aberto do Hubble Linux para análise de vírus requer primeiro a criação de um ambiente de máquina virtual para a execução de vírus. Nunca execute e analise os vírus diretamente em ambientes reais. O projeto usa o VirtualBox 5.1 para executar o Ubuntu 14.04 LTS como o ambiente analítico por padrão.

Instale o software relevante e obtenha o código -fonte, execute o seguinte comando como root na máquina virtual:

root# cd ./util/update_image
root# bash update_image.sh

Use ferramentas Git para obter o código -fonte.

git clone https://github.com/Tencent/HaboMalHunter.git

A maior parte do código -fonte é o Python e parte do código C precisa ser compilado e embalado. Primeiro, envie o código para a máquina virtual. Use a identidade raiz e use os comandos no diretório / root /, como mostrado na figura:

cp -ra /media/sf_Source/ * .

Execute o comando, compilar e pacote e produza dois arquivos, analisecontrol_1129.zip e test_1129.zip, conforme mostrado na figura:

bash package.sh

Desta vez, usamos o arquivo de teste ./test/bin/read.32.elf para teste. Use o seguinte comando: o segundo comando copiará os resultados da análise fora da máquina virtual e será usado pelos analistas para ler.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Nos resultados da análise, a saída. Estático é o resultado da análise estática, a saída. Ao mesmo tempo, a análise de amostra também pode ser realizada em combinação com os resultados exibidos no sistema de análise Hubble (https://habo.qq.com).

1. [Concluído] deseja usar
2. Espero adicionar mais regras de vírus (./util/yara/malware)
3. [Concluído] Espero converter o formato de dados JSON de saída em página HTML para exibição

1. Para analisar os vírus, execute-os em um ambiente de máquina virtual e ative a função Intel-VT nas configurações do BIOS. Este projeto não assume nenhuma responsabilidade por quaisquer problemas de segurança de software causados ​​pela execução de vírus.
2. Recomenda -se usar o VirtualBox 5.1 ou acima para executar máquinas virtuais.
3. Para arquivos ELF que não podem ser executados, como arquivos SO, o sistema de análise Hubble gerará logs dinâmicos por padrão, mas existem apenas mensagens de erro que não podem ser executadas.